Спецпроекты

Патч к PHP 5.2.3 оказался нерабочим

Безопасность Интеграция Пользователю Администратору Новости поставщиков
Обновлённая версия серверного языка веб-программирования PHP, 5.2.3, предназначенная для исправления уязвимости, не выполнила своей задачи, утверждает Стефан Эссер (Stefan Esser), соучредитель «Месячника уязвимостей PHP».

Ошибка переполнения целочисленного значения в функции chunk_split(), разбивающей строку на подстроки по шаблонам, по-прежнему присутствует. В результате ошибки может переполниться область динамически выделяемой памяти, и интерпретатор завершится аварийно. В худшем случае, которого, однако, пока не произошло, возможна инъекция постороннего кода. Разработчики просто перенесли проблему в другую строку кода.

В настоящее время выпущен эффективный патч, о чём объявлено в CVS. Впрочем, эффективность этого патча также ставится под сомнение: для подсчёта памяти, выделяемой функции, теперь используется значение с плавающей точкой, преобразуемое затем в целочисленное. В результате для очень больших чисел может быть выделено меньшее количество памяти.



Технология месяца

Что нужно знать о развитии СУБД: от «Спутника» до наших дней

Какие задачи решают системы управления базами данных сейчас и какие готовы решать в будущем?

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»