» »

Varnostna luknja v PHP verzije 3.0.10 do 4.1.1

Varnostna luknja v PHP verzije 3.0.10 do 4.1.1

ZDNet - Hkrati z rastjo uporabe open source programske opreme očitno raste tudi število napak in varnostnih lukenj v njej. Pred kratkim so objavili spisek lukenj v Linuxu, ki bo kmalu tako dolg kot podoben spisek za Windows sisteme, sedaj pa so odkrili luknjo v procesorju za skriptni jezik PHP. Težava je po nevarnosti primerljiva celo z napako, ki je omogočila širjenje črva Code Red na Windows strežnikih, čeprav naj bi bilo napako v PHP precej težje izkoristiti v slabe namene. Zdi pa se, da naj bi v raznih internetnih underground krogih že razvijali črva, ki bi izkoristil to luknjo. Popravek je na voljo z novo verzijo PHP-ja, ogroženih pa je okoli 8 milijonov spletnih strani.

19 komentarjev

tha_man ::

Točno to sem jaz govoril ko so mi linuksači govorili kako je njihov sistem popolnoma varen: počakajte da se zadeva razširi in ga hekerji dobijo na piko, potem bomo pa videli kako varen je!

Gandalfar ::

[27-Feb-2002] Due to a security issue found in all versions of PHP (including 3.x and 4.x), a new version of PHP has been released. Details about the security issue are available here. All users of PHP are strongly encouraged to either upgrade to PHP 4.1.2, or install the patch (available for PHP 3.0.18, 4.0.6 and 4.1.0/4.1.1).

Popravek je bil verjetno na voljo eno uro po tem, ko je bila objavljena varnosta luknja. Za razlika od MSja, ki kljub javnim opozorilom se vedno ni popravil nekaterih varnostnih lukenj v svojih programih/operacijskih sistemih!

PaJo ::

Tocno tako in v tem je velika prednost linux serverjev, ker so zadede popravlene v zalo kratkem casu. Pa se zadevo se da zelo varno postavit, ce le imas dovolj izkusenj:D
Sploh pa ta bug ni nujno da deluje na vseh streznikih, saj ti rabijo PHP podporo, pa se ce ze imas o podporo ni nujno da imas vkloplje ta del ki vsebje bug. Tako da mislim da ni zadeva tako kriticna napram luknjam na Win serverjih.:D

simon ::

PHP != Linux

cahahopie ::

Eeek!
Ehh... to bo še bolj okrepilo kakšne zagrizene basicofile, da bodo šinfali čez php in hvalili asp in vsemogočnega Billya. :D Joke!
Ker je pač PHP tako popularen... so tudi prej odkrili buga. Če bi bil APS ali CF tudi tako, me prav zanima koliko lukenj imajo tile.

PaJo ::

Ja vem da PHP ni linux, ampak ta luknaj v PHP-ju je mozna le na linuxu in mislim da se na eni platformi, stem ko pa winsi niso bili prizadeti;(

andrej ::

1. nihce in nic ni popolno.
2. vsak zagovarja svojega konja...

Glede linuxa in patchov pa je zadeva zlo zanimiva. Ravno sem bral v predzadnjem ct-ju kaksne probleme majo. Sicer programerji napisejo patche, ampak potem niti ni nujno da ta patch pride v glavno distribucijo, ali pa pride pozno. To ne pomeni, da patcha ni, ampak da je veliko programerskega dela zastonj in da to povzroca veliko frustracij pri developerjih...

nic ni popolno, niti linux open source model.... ms placljivi sistem pa se manj ;)


Da nebo pomote, jaz ne pravim da je MS model boljsi. Jaz samo pravim, da niti Linux model ni brez tezav, ki jih nekatere nikakor nocejo videt...

Se ena stvar, popravek gor al dol, nic ne pomaga, ce ga admini ne instaliracjo. Tak primer je Code red. Patch za bug, ki ga CR izkorisca je bil izdal 1 mesec pred samim wormom! In nic ni pomagalo zaradi adminov... hja, kaj cmo :)


Mislim da je to ta clanek:
http://www.heise.de/ct/02/04/040/defaul...

"
Schon länger rumort es auf der Mailingliste der Kernelentwickler: Immer wieder beschweren sich Programmierer, dass ihre Code-Beiträge zum Linux-Kernel spurlos versickern. Dabei richtet sich die Kritik auch gegen Linus Torvalds. "

Ziga Dolhar ::

Cahahopie: a enako govoriš tudi za okna? Ker so bolj popularna, in se zaradi tega nanj bolj spravljajo?

Zgolj vprašam.

royt ::

hehehehe...
ravno včeraj sem razmišljel, ker vedno neki lukenj najdejo v windowsih, kdaj bodo začeli "razliskovati" linux...

evo to je tu.

hehe

Gandalfar ::

za programe, ki tecejo v GNU/Linux se vsak dan najde kaksna napaka. Kar poglej si na bugtraq.

Glede tega. ce pride v glavno distribucijo:
- ce si povezan v internet si moras itaq nastavit rac. tako,da ti blokira vse prihajajoce povezave
- ce tega ne storis potem pac poskrbis, da imas na zunaj odprte samo tiste stvari, ki jih rabis
- za te iste stvari se prijavis na mailing listo in chekiras za popravke in skrbis za redno nadgradnjo

Da, da .. tezko je zivljenje admina ..

R0K ::

Emm pa vsi tisti ki še tolk tlačite linux v drek, sami pri sebi veste, da lahk pr Linuxu najdejo še 1000 napak oz bugov, še vedno najbolj varen sistem na svetu ...

dr.J ::

Linux bugi so vsaj zastonj :D

Thomas ::

Oba sistema bosta v letu ali dveh virtualno brez varnostnih problemov. Windowsi mogoče še nekoliko prej.

Izdelki imajo tendenco, da se perfekcionirajo. In ta security ni bil tako akuten dozdaj.

Ga bodo pa porihtali nedvomno. Oboji.

:)

minmax ::

Halo, pa ste vi res prebrali ZA KAKŠEN BUG GRE IN KAKO GA JE MOŽNO SPROŽITI?

... dajte, prosim najprej preberite točne podatke, potem pa komentirajte...

andrej ::

minmax ima zelo dobro poanta. Prevec folka samo prebere neko novico kao BUG v linuxu, ali se bolj pogosto bug v winsih, itd:D

ponavadi pa tak vemo, kaksna so to novinarska porocila, ki z novinastvom nimajo blage veze. Dober primer je recimo WMP8 privary problem pred par tedni.. Vsi so prebrali recimo cnet ali theregister, skoraj nihce pa uradnega sporocila skupaj z netmon traci...

in potem ni cudno zakaj pride do taksnih razhajanj med racunalnicarji... Ponavadi se racunalnicarji koljemo, dobicek pa imajo ljudje iz marketinga in odvetniki:O

MasterBlaster ::

Vsak računalniški program vsebuje buge (razen morda hello world :D ). V povprečju ima program okoli 10 potencialnih bugov na 1000 vrstic kode.

Operacijskega sistema brez bugov ni in ga tudi nikoli ne bo.

MasterBlaster ::

Aja pa še to MS je v zadnjih štirinajstih dneh izdal več kot 5 patchov za svoje produkte.

WhiteAngel ::

hja, dejstvo je, da so Windowsi namenjeni, da bi Microsoft zaslužil. Pa če bo treba popravke narest, ogromn reklame, al pa najet folk da kritizira Linux. Sam da je dnar, prav billy, pa ni važn ostalo (sam da so lepe slikce v XPjih, pa je že večini uporabnikov všeč in si ga seveda nabavijo in namestijo, argh).

Ziga Dolhar ::

Hmm, say je polno ime "Microsoft Corporation", mar ne? :-)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Jailbreak za iPhone 4

Oddelek: Novice / Apple iPhone/iPad/iPod
298229 (6985) Jst
»

Varnostna luknja v Mambo portalu

Oddelek: Novice / Varnost
103306 (2207) poweroff
»

Nova luknja v Windowsih povzroči Infocon Yellow (strani: 1 2 )

Oddelek: Novice / Varnost
6711287 (8689) denial
»

Črv Santy.A preko napake v phpBB briše spletne strani (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
737686 (7686) *******
»

Sojenje avtorju Blasterja B

Oddelek: Novice / Varnost
152653 (2653) Dr_M

Več podobnih tem