Подскажите, пожалуйста, по обновлению PHP.
Было установлено php 2.2.4, много уязвимостей.
Ставлю 2.2.11, сканирую xSpider'ом - уязвимости не закрываются, в чем проблема?
xSpider пишет что стоит версия 2.2.11...
Спустя 2 дня, 17 часов, 57 минут, 13 секунд (2.11.2009 - 03:25) TV-pyz написал(а):
...сори
Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4
Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4
Спустя 5 часов, 57 минут, 12 секунд (2.11.2009 - 09:22) glock18 написал(а):
TV-pyz
уже лучше. в чем заключаются эти самые уязвимости?
уже лучше. в чем заключаются эти самые уязвимости?
Спустя 6 минут, 15 секунд (2.11.2009 - 09:28) TV-pyz написал(а):
вот некоторые из них...
80/tcp - HTTP:
SQL инъекция слепая
Обход ограничений безопасности (PHP)
Неизвестная уязвимость (PHP)
Уязвимость обхода каталога (PHP)
Межсайтовое выполнение сценариев (mod_ssl)
Уязвимость повреждения памяти (Apache HTTP Server)
Переполнение буфера (PHP)
Обход механизмов защиты (PHP)
Обход механизма защиты (PHP)
Уязвимость PHP (PHP)
Переполнение буфера в стеке (PHP)
Выполнение произвольного кода (PHP)
выполнение произвольного кода (OpenSSL)
80/tcp - HTTP:
SQL инъекция слепая
Обход ограничений безопасности (PHP)
Неизвестная уязвимость (PHP)
Уязвимость обхода каталога (PHP)
Межсайтовое выполнение сценариев (mod_ssl)
Уязвимость повреждения памяти (Apache HTTP Server)
Переполнение буфера (PHP)
Обход механизмов защиты (PHP)
Обход механизма защиты (PHP)
Уязвимость PHP (PHP)
Переполнение буфера в стеке (PHP)
Выполнение произвольного кода (PHP)
выполнение произвольного кода (OpenSSL)
Спустя 14 минут, 47 секунд (2.11.2009 - 09:43) sergeiss написал(а):
Если я правильно понял, речь идет об анализе уязвимости скрипта, а не самого ПХП??? Или я неправильно понял?
Спустя 29 минут, 27 секунд (2.11.2009 - 10:12) TV-pyz написал(а):
sergeiss
и то и другое...
и то и другое...
Спустя 42 минуты, 10 секунд (2.11.2009 - 10:54) sergeiss написал(а):
TV-pyz
Тогда перечисли, что именно из перечисленного тобой ты относишь к уязвимостям именно самого ПХП. А не к скриптам. Я, со своей колокольни, вижу только уязвимости скриптов.
Тогда перечисли, что именно из перечисленного тобой ты относишь к уязвимостям именно самого ПХП. А не к скриптам. Я, со своей колокольни, вижу только уязвимости скриптов.
Спустя 14 минут, 37 секунд (2.11.2009 - 11:09) TV-pyz написал(а):
sergeiss
Например:
Обход ограничений безопасности (PHP)
PHP позволяет злоумышленникам, действующим удаленно, обойти ограничения безопасности, используя ошибку регрессии, связанную с glob(). Злоумышленник может эксплуатировать уязвимость для обхода директив open_basedir и получения неавторизованного доступа к системе.
Вставка PHP-кода (PHP)
PHP не ограничивает набор символов в идентификаторе сессии (PHPSESSID) в обработчиках сессии, разработанных сторонними производителями, что может облегчить злоумышленникам, действующим удаленно, эксплуатацию других уязвимостей, если они внедрят PHP-код в PHPSESSID, который хранится в файле сессии. Замечание: существует мнение, что данная проблема не является уязвимостью в самом PHP, а является скорее конструктивным ограничением, которое позволяет проводить определенные атаки против обработчиков сессии, которые не учитывают данное ограничение.
Обход ограничений безопасности (PHP)
язвимость в zend_hash_del_key_or_index в zend_hash.c в PHP может привести к тому, что zend_hash_del удалит не тот элемент. Из-за этого переменная не будет приведена в исходное состояние, даже если будет вызвана PHP-функция unset, что может привести к тому, что значение переменной будет использоваться в операциях, связанных с безопасностью.
ps: делетант в php, интересует закрытие дыр
Например:
Обход ограничений безопасности (PHP)
PHP позволяет злоумышленникам, действующим удаленно, обойти ограничения безопасности, используя ошибку регрессии, связанную с glob(). Злоумышленник может эксплуатировать уязвимость для обхода директив open_basedir и получения неавторизованного доступа к системе.
Вставка PHP-кода (PHP)
PHP не ограничивает набор символов в идентификаторе сессии (PHPSESSID) в обработчиках сессии, разработанных сторонними производителями, что может облегчить злоумышленникам, действующим удаленно, эксплуатацию других уязвимостей, если они внедрят PHP-код в PHPSESSID, который хранится в файле сессии. Замечание: существует мнение, что данная проблема не является уязвимостью в самом PHP, а является скорее конструктивным ограничением, которое позволяет проводить определенные атаки против обработчиков сессии, которые не учитывают данное ограничение.
Обход ограничений безопасности (PHP)
язвимость в zend_hash_del_key_or_index в zend_hash.c в PHP может привести к тому, что zend_hash_del удалит не тот элемент. Из-за этого переменная не будет приведена в исходное состояние, даже если будет вызвана PHP-функция unset, что может привести к тому, что значение переменной будет использоваться в операциях, связанных с безопасностью.
ps: делетант в php, интересует закрытие дыр
Спустя 1 минута, 5 секунд (2.11.2009 - 11:10) TV-pyz написал(а):
sergeiss
XSpider везде пишет:
Решение
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
XSpider везде пишет:
Решение
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
Спустя 23 минуты, 15 секунд (2.11.2009 - 11:33) glock18 написал(а):
| Цитата |
| Решение Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу: |
в чем тогда проблема?
баги и уязвимости пхп исправляются по мере выхода новых версий.
Спустя 21 минута, 7 секунд (2.11.2009 - 11:54) TV-pyz написал(а):
glock18
дык я и поставил последнюю версию php и xSpider говорит, что видит 5.2.11, но сам же и говорит что не закрыты такие то да такие уязвимости...
при чем говорит, что они закрываются, например, 5.2.4 - хотя я поставил 5.2.11!!!
дык я и поставил последнюю версию php и xSpider говорит, что видит 5.2.11, но сам же и говорит что не закрыты такие то да такие уязвимости...
при чем говорит, что они закрываются, например, 5.2.4 - хотя я поставил 5.2.11!!!
Спустя 17 минут, 50 секунд (2.11.2009 - 12:12) glock18 написал(а):
| Цитата |
| ...сори Apache/2.2.4 (Win32) mod_ssl/2.2.4 OpenSSL/0.9.8d PHP/5.2.4 |
если таки стоит 5.2.11, то значит там они не закрыты. либо xSpider не прав
не имел дело с этой утилитой Спустя 9 дней, 15 часов, 9 минут, 15 секунд (12.11.2009 - 03:22) TV-pyz написал(а):
Привет!
Связался с xSpider'ом, они его обновили - проблема решилась.
Всем спасибо!
Связался с xSpider'ом, они его обновили - проблема решилась.
Всем спасибо!