ATTENZIONE! L'articolo che stai leggendo ha oltre un anno di vita, alcuni degli argomenti trattati potrebbero non essere più validi.

Aggiornate PHP, e fatelo in fretta…

inserito in php da fullo @ 04-11-2006 03:20

E’ stata rilevato un bug abbastanza grave che permette di usare htmlentities() e htmlspecialchars() per eseguire codice remoto su un server (maggiori info su hardened-php). Siccome quelle due funzioni sono alla base di tutti i metodi di parsing e protezione contro XSS sono normalmente usate ovunque.

Su PHP.net trovate le nuove release 5.2.0 e 4.4.4 che risolvono la vulnerabilità.

ciauz

Tag associati al post: Tags: , ,

6 Responses to “Aggiornate PHP, e fatelo in fretta…”

  1. 1
    Andrea Paiola Says:
    November 4th, 2006 at 10:18

    Meglio aggiornare a 5.1.7 quando uscirà

    Il 5.2 introdurrà altri bug.

  2. 2
    daniele_dll Says:
    November 4th, 2006 at 18:25

    Sono del parere che eseguire l’aggiornamento ORA sia più un suicidio che una rassicurazione

    Installare la nuova versione di PHP vuol dire giocare alla roulette russa: sicuramente sistema una marea di bug, ma potenzialmente quanti ne sono stati introdotti durante la correzione dei bug, l’implementazione delle nuove feature e il miglioramento del codice? S-I-C-U-R-A-M-E-N-T-E più di quanti ne sono stati corretti!

    Soprattutto, a sostenere queste mie parole, ci aggiungo che PHP, proprio con la versione 5.1.0, quella che doveva essere una mega figata, porto con se non so quanti bug, bug che sono stati usati per far danno sui server in produzione di quelli che, a causa della fretta, hanno voluto aggiornare subito

    La cosa, sicuramente, più sensata è di aspettare l’uscita della release 5.1.7 che verrà fuori a breve, in modo che i bug presenti in questo ramo, soprattutto quelli critici, verranno rimossi e nel frattempo inizieranno a venire a galla i crateri della 5.2.0, com’è normale per altro.

    Ovviamente se usate php4 … aggiornate tranquillamente, quella release c’ha una marea di fix, ma non passate alla 5.2.0!

    Oppure, naturalmente, seguite il progetto hardened di php che periodicamente rilascia patch di aggiornamento per correggere queste cose critiche!

    Da qui è possibile scaricare le patch da applicare ai sources
    http://www.hardened-php.net/downloads.13.html

    :)

  3. 3
    dgrossato Says:
    November 6th, 2006 at 10:34

    Beh io ho fatto il mio bel “yum update” come da prassi e ho visto che è stato subito aggiornato il php alla versione 5.1.6-1.1 …
    Bye Bye

  4. 4
    LucaP Says:
    November 6th, 2006 at 16:58

    Ciao, scusa il disturbo ma vorrei dei chiarimenti su google adsense. Io mi sono registrato, questa mattina ho ricevuto la conferma e così ho incollato l’html degli annunci sul mio blog. L’adsense per la ricerca è già funzionante ma gli altri due no, ho letto che devo aspettare dalle 30 alle 48 ore per visualizzare degli annunci. Però, nonostante io abbia messo il formato Skyscraper, il blog si è deformato. E’ normale e si normalizzerà quando compariranno gli annunci?

    Grazie mille, scusa il disturbo.
    Luca

  5. 5
    Tassoman Says:
    November 7th, 2006 at 01:22

    Mod security aiuta in questo caso?

  6. 6
    Raimondo Fanale Says:
    November 7th, 2006 at 13:38

    come aggiornare serendipity…

    Dopo l’annuncio del baco di tipo XSS (Cross Site Scripting) trovato, ho fatto delle prove di ugrade del mio blog su un server interno. Fortunatamente è andato tutto liscio Ora dovrò farlo sul mio blog online… speriamo che la fortuna mi assista Eff…

Leave a Reply

phpday 2008