Hlavní navigace

PHP 5.3.9 opravuje chybu umožňující DOS útok

Vyšla nová verze PHP s označením 5.3.9. Ta odstraňuje důležitou bezpečností chybu, která byla představena na Chaos Communication Congress a PHP nebylo jediný postižený jazyk. Chyba může být zneužita při výpočtu hashů a více se o ní dozvíte v prezentaci A­lexandera Klinka. Nová verze odstraňuje i další chyby, ke kterým najdete informace v oznámení o vydání.

Předchozí zprávička Následující zprávička        
Tomáš Matějíček aura:56
12. 1. 2012 13:17 Nový

Tohle neni oprava

celé vlákno

Ja jsem velky zastance PHP, ale tohle co udelali neni zadna oprava. Jen zavedli max_input_vars konfiguracni parametr, s defaultni hodnotou 1000.

Debilnejsi workaround je snad uz jen zavedeni max_file_uploads s defaultni hodnotou 20 (kdysi pred rokem).

Takhle se krucinal chyby neopravuji.

Mordae
Mordae (neregistrovaný) ---.net.upcbroadband.cz
12. 1. 2012 22:45 Nový

Re: Tohle neni oprava

celé vlákno

No, alternativou by bylo saltovat hashe nahodnym cislem vygenerovanym pri startu procesu. To ale take neni 100% bezpecne. Jedine jine systemove reseni je prestat pouzivat hashe a prejit plne na vyhledavaci stromy... coz take neni uplne legrace.

Zasílat nově přidané příspěvky e-mailem