Kicsit le vagyok maradva, de jobb később, mint soha: történt néhány érdekesség a PHP háza táján az utóbbi időben.
- Megjelent a PHP 5.2.13, ami több biztonsági hiányosságot is orvosol. Konkrétan a régebbi változatokban a safe_mode-ot lehet kikerülni a tempnam() függvény használatával, az open_basedir-t és a safe_mode-ot pedig a session kiterjesztés segítségével. Ezen kívül a futtatókörnyezet kapott egy kis plusz entrópiát a véletlenszám-generáláshoz.
- A Debian-féle Suhosin foltba sikerült biztonsági problémát csempésznie a csomagkarbantartóknak: a patch-el ellátott PHP változatok elhaláloztak, ha nem 4096 byte-os lapméretű memóriába próbálták betölteni a beállításaikat, ezt a problémát pedig fel kellett oldani. Ennek a vége az lett, hogy egy mutatót állítottak a memóriának arra a csak olvashatóra jelölt részére, ahová a biztonsági beállítások kerültek, ezt a mutatót viszont szépen lehet módosítani, így ha egy új helyre beírjuk a nekünk tetsző konfigurációt, majd erre a memóriaterületre állítjuk a mutatót, a Suhosin nem állítmeg minket.
- Végül szeretném felhívni a figyelmet, hogy május a PHP biztonság hónapja lesz, melynek keretében szeretnék összegyűjteni és összegyűjteni a legjobb, PHP biztonság témájú cikkeket, sebezhetőségeket. A legjobb nevezettek pénzjutalmat kapnak, a CFP már tart.
f450386 2010.03.03. 22:23:48
nahát, pedig a debiannál ez nem szokás!