Raz0r Feb 2 2012 at 17:12

Выполнение кода в PHP 5.3.9

2 min

7.9K

Information Security*

+32

Comments 11

coldwind Feb 2 2012 at 17:52

Если я правильно понял, то данную уязвимость уже закрыли в SVN

Irker Feb 2 2012 at 17:57

Да, вы правильно поняли. Скоро будет выпущен соответствующий релиз.
По топику: Debian не отказывается от suhosin патча, а делает его опциональным.
То, что данный патч «молча» применялся по умолчанию создавало огромное количество проблем.

HeadFore Feb 2 2012 at 18:31

Буквально вчера устанавливал из пакетов php5 на Debian 6, suhosin patch по-умолчанию шел.

Irker Feb 2 2012 at 19:40

Вероятно это сделано в unstable, но я если честно не сильно разбираюсь в дебиане.
packages.debian.org/changelogs/pool/main/p/php5/php5_5.3.9-3/changelog

Raz0r Feb 2 2012 at 17:57

да, и кстати в твиттере Эссера сейчас интересно.

Irker Feb 2 2012 at 18:04

А в рассылке он еще ласково говорит «вы выглядите тупо».
Слишком он нервно отнесся к решению Debian. Я понимаю, что обидно, что его детище не будет ставиться по умолчанию. Но никто же не удаляет его расширение — это просто будет опция при компиляции.
Так же он пишет, что «PHP отрицает то, что сухосин защищал PHP в течении 8 лет» — глупо. Никто ничего не отрицает. Вся проблема в том, что из-за проблем сухосина пользователи писали багрепорты именно в PHP и матюкали PHP за эти проблемы, не подозревая даже, что у них по умолчанию стоит сухосин и виноват зачастую он. (само собой не всегда, я утрирую).