Aggiornate PHP, e fatelo in fretta…

E’ stata rilevato un bug abbastanza grave che permette di usare htmlentities() e htmlspecialchars() per eseguire codice remoto su un server (maggiori info su hardened-php). Siccome quelle due funzioni sono alla base di tutti i metodi di parsing e protezione contro XSS sono normalmente usate ovunque.

Su PHP.net trovate le nuove release 5.2.0 e 4.4.4 che risolvono la vulnerabilità.

ciauz

  • Meglio aggiornare a 5.1.7 quando uscirà

    Il 5.2 introdurrà altri bug.

  • Sono del parere che eseguire l’aggiornamento ORA sia più un suicidio che una rassicurazione

    Installare la nuova versione di PHP vuol dire giocare alla roulette russa: sicuramente sistema una marea di bug, ma potenzialmente quanti ne sono stati introdotti durante la correzione dei bug, l’implementazione delle nuove feature e il miglioramento del codice? S-I-C-U-R-A-M-E-N-T-E più di quanti ne sono stati corretti!

    Soprattutto, a sostenere queste mie parole, ci aggiungo che PHP, proprio con la versione 5.1.0, quella che doveva essere una mega figata, porto con se non so quanti bug, bug che sono stati usati per far danno sui server in produzione di quelli che, a causa della fretta, hanno voluto aggiornare subito

    La cosa, sicuramente, più sensata è di aspettare l’uscita della release 5.1.7 che verrà fuori a breve, in modo che i bug presenti in questo ramo, soprattutto quelli critici, verranno rimossi e nel frattempo inizieranno a venire a galla i crateri della 5.2.0, com’è normale per altro.

    Ovviamente se usate php4 … aggiornate tranquillamente, quella release c’ha una marea di fix, ma non passate alla 5.2.0!

    Oppure, naturalmente, seguite il progetto hardened di php che periodicamente rilascia patch di aggiornamento per correggere queste cose critiche!

    Da qui è possibile scaricare le patch da applicare ai sources
    http://www.hardened-php.net/downloads.13.html

    :)

  • Beh io ho fatto il mio bel “yum update” come da prassi e ho visto che è stato subito aggiornato il php alla versione 5.1.6-1.1 …
    Bye Bye

  • Ciao, scusa il disturbo ma vorrei dei chiarimenti su google adsense. Io mi sono registrato, questa mattina ho ricevuto la conferma e così ho incollato l’html degli annunci sul mio blog. L’adsense per la ricerca è già funzionante ma gli altri due no, ho letto che devo aspettare dalle 30 alle 48 ore per visualizzare degli annunci. Però, nonostante io abbia messo il formato Skyscraper, il blog si è deformato. E’ normale e si normalizzerà quando compariranno gli annunci?

    Grazie mille, scusa il disturbo.
    Luca

  • Mod security aiuta in questo caso?

  • Pingback: Raimondo Fanale()

%d bloggers like this: