Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

PHP biztonsági hírek

2010.03.03. 18:00 | buherator | 1 komment

Kicsit le vagyok maradva, de jobb később, mint soha: történt néhány érdekesség a PHP háza táján az utóbbi időben.

  • Megjelent a PHP 5.2.13, ami több biztonsági hiányosságot is orvosol. Konkrétan a régebbi változatokban a safe_mode-ot lehet kikerülni a tempnam() függvény használatával, az open_basedir-t és a safe_mode-ot pedig a session kiterjesztés segítségével. Ezen kívül a futtatókörnyezet kapott egy kis plusz entrópiát a véletlenszám-generáláshoz.
  • A Debian-féle Suhosin foltba sikerült biztonsági problémát csempésznie a csomagkarbantartóknak: a patch-el ellátott PHP változatok elhaláloztak, ha nem 4096 byte-os lapméretű memóriába próbálták betölteni a beállításaikat, ezt a problémát pedig fel kellett oldani. Ennek a vége az lett, hogy egy mutatót állítottak a memóriának arra a csak olvashatóra jelölt részére, ahová a biztonsági beállítások kerültek, ezt a mutatót viszont szépen lehet módosítani, így ha egy új helyre beírjuk a nekünk tetsző konfigurációt, majd erre a memóriaterületre állítjuk a mutatót, a Suhosin nem állítmeg minket.
  • Végül szeretném felhívni a figyelmet, hogy május a PHP biztonság hónapja lesz, melynek keretében szeretnék összegyűjteni és összegyűjteni a legjobb, PHP biztonság témájú cikkeket, sebezhetőségeket. A legjobb nevezettek pénzjutalmat kapnak, a CFP már tart.

Címkék: php patch bug debian fail month of php security

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

f450386 2010.03.03. 22:23:48

"A Debian-féle [TÖKMINDEGY]be sikerült biztonsági problémát csempésznie a csomagkarbantartóknak"
nahát, pedig a debiannál ez nem szokás!