PHP 5.4.3 ve PHP 5.3.13 Çıktı!

08 Mayıs 2012 tarihinde Genel kategori(lerine) gönderildi . 0 Comments Tags: , , , , , , , , .

PHP geliştirme ekibi PHP 5.4.3 ve PHP 5.3.13 hemen durumu duyurmak istiyorum. Bütün kullanıcılar PHP 5.4.3 veya PHP 5.3.13 yükseltmek için tavsiye edilir.

Bültenleri CGI tabanlı kurulumları bir güvenlik açığı (CVE-2012-2311) için bir düzeltme tamamlayın. Not: mod_php ve php-fpm bu saldırıya karşı savunmasız değildir.

PHP 5.4.3 apache_request_headers bir arabellek taşması güvenlik açığı () (CVE-2012-2329) giderir.PHP 5.3 serisi bu soruna karşı savunmasız değildir.

PHP 5.4.3 ve PHP 5.3.13 ve kaynak siteleri için lütfen indirme sayfasını ziyaret edin, Windows ikilileri windows.php.net / download / bulunabilir. Değişikliklerin listesi ChangeLog kaydedilir.

PHP 5.3.12 ve 5.4.2 ve the CGI hatasi (CVE-2012-1823)

06 Mayıs 2012 tarihinde Genel kategori(lerine) gönderildi . 0 Comments Tags: , , , , , , .

PHP 5.3.12/5.4.2 CVE-2012-1823 yılında açıklanan CGI sorunları tüm varyasyonları düzeltmiyor. Ayrıca bazı siteler PHP çalıştırmak için güvensiz cgiwrapper komut dosyası kullanmak bizim dikkatimizi çekmiştir. Bu scriptler sorunları bir dizi neden olan php-cgi paametreleri yerine “$ @” dolar * kullanır. Yine, mod_php php-fpm kullanan insanlar etkilenmez.

‘-’ Ve hiçbir ‘=’ bu CGI sorunları gidermek için bir yolu sorgu dizesi bir içeriyorsa isteği reddetmektir. Bu gibi Apache mod_rewrite kullanarak yapılabilir:

RewriteCond% {QUERY_STRING} ^ [^ =] * $
RewriteCond% {QUERY_STRING}% 2d | \ – [NC]
RewriteRule.? – [F, L]

Bu gibi aksi güvenli isteklerini engellemek olacak? Bu gibi sorgu parametreleri üst-40 eğer öyleyse, buna göre regex ayarlamak unutmayın.

Bültenleri başka set Mayıs, 8., Salı planlanıyor. Bu sürümler CGI kusur ve apache_request_header başka bir CGI ilişkili sorunlar (sadece 5.4) çözecektir.

Biz bu bültenleri ve çevrelerindeki (eksikliği) iletişim ile oluşturulan rahatsızlıktan dolayı özür dileriz.

PHP 5.3.12 ve PHP 5.4.2 Çıktı !

03 Mayıs 2012 tarihinde Genel kategori(lerine) gönderildi . 0 Comments Tags: , , , , , , , , .

En az 8 yıl boyunca fark edilmeden gittiği belirlilenen CGI tabanlı bir güvenlik açığı (Apache + mod_php ve nginx + php-fpm etkilenmez) vardı.

CGI tanımları Bölüm 7:
Bazı sistemler CGI betiği dizeleri bir [sic] dizi sağlamak için bir yöntem destekler. Bu yalnızca bir dizin `’sorgu halinde kullanılır. Bu herhangi bir unencoded “=” karakterleri içermeyen bir URL arama dizesi ile “GET” veya “HEAD” HTTP isteği ile tanımlanır.

Yani, sorgu dizesinde bir “=” yok istekleri bazı CGI uygulamalarında yapanlara farklı tedavi edilirler. PHP için bu talebi bulunan demektir?-S sayfası için PHP kaynak kodu, ama?-S & = 1 ince olan bir isteği dökümü olabilir.

Sitelerin büyük bir kısmı bir Apache mod_php üzerinden modül veya nginx altında php-fpm kullanarak ya da PHP gibi çalıştırın. Bu kurulumları Ne bu açıktır. Düz shebang tarzı CGI de hassas olmak için görünmüyor.

PHP çalıştırmak için Apache mod_cgi kullanıyorsanız, savunmasız olabilir. Eğer olup olmadığını görmek için, sadece URL’lerinizin herhangi sonuna?-S ekleyin. Eğer kaynak kodu görürseniz, savunmasız. Sitenizin normal işler varsa, değildir.

Bunu düzeltmek için, PHP 5.3.12 ve PHP 5.4.2 güncellemek.

PHP 5.3.11 ve PHP 5.4.1 Çıktı!

27 Nisan 2012 tarihinde Genel kategori(lerine) gönderildi . 0 Comments Tags: , , , , , , , , , .

PHP geliştirme ekibi PHP 5.3.11 ve PHP 5.4.1 piyasaya sunulduğunu duyurdu. Bu güvenlik bültenleri ile ilgili olarak bazıları 60 hata düzeltmeleri ile geçerli PHP sürümleri istikrarını iyileştirmeye odaklanmaktadır.

PHP 5.3.11 ve PHP 5.4.1 ikisi için Güvenlik Geliştirmeleri:

Sabit hata # 54374 (bozuk $ _FILES indisleri giden yükleme adını doğrularken yetersiz). (CVE-2012-1172).
Readline_write_history ve readline_read_history için open_basedir kontrolleri ekleyin.

PHP sadece 5.3.11 etkileyen Güvenlik Geliştirme:

Sabit hata # 61043 (CVE-2012-0831 için magic_quotes_gpc düzeltme Regresyon).

Bu sürümdeki önemli yenilikler şunlardır:

DOM nesnelerine debug bilgi işleyici eklendi.
Sabit hata # 61172 (Apache 2.4 desteği ekleyin).

PHP 5.3.11 ve PHP 5.4.1 değişikliklerin tam listesi için, DeğişimGünlüğü’ne bakın. Kaynak siteleri için lütfen indirme sayfasını ziyaret edin, Windows ikilileri windows.php.net / download / bulunabilir.

PHP Bütün kullanıcılar güçlü PHP 5.3.11 ve PHP 5.4.1 yükseltmek için teşvik edilir.

The PHP development team announces the immediate availability of PHP 5.3.11 and PHP 5.4.1. These releases focuses on improving the stability of the current PHP branches with over 60 bug fixes, some of which are security related.

Security Enhancements for both PHP 5.3.11 and PHP 5.4.1:

  • Fixed bug #54374 (Insufficient validating of upload name leading to corrupted $_FILES indices). (CVE-2012-1172).
  • Add open_basedir checks to readline_write_history and readline_read_history.

Security Enhancement affecting PHP 5.3.11 only:

  • Fixed bug #61043 (Regression in magic_quotes_gpc fix for CVE-2012-0831).

Key enhancements in these releases include:

  • Added debug info handler to DOM objects.
  • Fixed bug #61172 (Add Apache 2.4 support).

For a full list of changes in PHP 5.3.11 and PHP 5.4.1, see the ChangeLog. For source downloads please visit our downloads page, Windows binaries can be found on windows.php.net/download/.

All users of PHP are strongly encouraged to upgrade to PHP 5.3.11 or PHP 5.4.1.

Yine yeniden beraberiz!

20 Nisan 2012 tarihinde Genel kategori(lerine) gönderildi . 0 Comments Tags: , , .

Selamlar,

20 Nisan tarihinden yani bugünden itibaren yeni yazılarla yeni etkinliklerle hep birlikte devam edeceğiz.

Türkiye PHP Grubu adına,
Onur