/ Для программиста / Языки прогр. / PHP | ||
· | 24.10.2019 | Уязвимость php-fpm, позволяющая удалённо выполнить код на сервере (97 +24) |
Доступны корректирующие релизы PHP 7.3.11, 7.1.33 и 7.2.24, в которых устранена критическая уязвимость (CVE-2019-11043) в расширении PHP-FPM (менеджер процессов FastCGI), позволяющая удалённо выполнить свой код в системе. Для атаки на серверы, использующие для запуска PHP-скриптов PHP-FPM в связке с Nginx, уже публично доступен рабочий эксплоит...
| ||
· | 15.08.2019 | Разработчики PHP предложили P++, диалект со строгой типизацией (231 +13) |
Разработчики языка PHP обсуждают идею по созданию нового диалекта P++, который поможет вывести язык PHP на новый уровень. В текущем виде развитию PHP мешает необходимость сохранения совместимости с имеющейся кодовой базой web-проектов, что удерживает разработчиков в ограниченных рамках. В качестве выхода предлагается параллельно начать развивать новый диалект PHP - P++, разработка которого будет вестись без оглядки на необходимость сохранения обратной совместимости, что позволит добавить в язык революционные улучшения и избавиться от устаревших концепций...
| ||
· | 04.07.2019 | Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей (42 +4) |
В рамках проекта Snuffleupagus развивается модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки ("extension=snuffleupagus.so" в php.ini) и распространяется под лицензией LGPL 3.0...
| ||
· | 10.05.2019 | Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3 (38 +4) |
В библиотеке PharStreamWrapper, предоставляющей обработчики для защиты от проведения атак через подстановку файлов в формате "Phar", выявлена уязвимость (CVE-2019-11831), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar" и библиотека выделит при проверке базовое имя "/path/good.phar", хотя при дальнейшей обработке подобного пути будет использован файл "/path/bad.phar"...
| ||
· | 08.05.2019 | Релиз WordPress 5.2 с поддержкой проверки обновлений по цифровой подписи (26 +9) |
Представлен релиз системы управления web-контентом WordPress 5.2. Выпуск примечателен завершением шестилетней эпопеи по реализации возможности проверки обновлений и дополнений по цифровой подписи...
| ||
· | 17.04.2019 | Zend Framework перешёл под крыло организации Linux Foundation (80 +7) |
Организация Linux Foundation представила новый проект Laminas, в рамках которого будет продолжена разработка фреймворка Zend Framework, предоставляющего коллекцию пакетов для разработки web-приложений и сервисов на языке PHP. В том числе фреймворк предоставляет средства разработки с использованием парадигмы MVC (Model View Controller), прослойка для работы с базами данных, построенный на базе Lucene поисковый механизм, компоненты интернационализации (I18N) и API для аутентификации...
| ||
· | 31.03.2019 | В PHP 8 будет добавлен JIT-компилятор (189 +18) |
Разработчики PHP официально утвердили план включения JIT-компилятора в состав следующей ветки PHP 8, но отвергли предложение по интеграции JIT в следующий значительный релиз PHP 7.4, намеченный на конец 2020 года. Решение не спешить с внедрением JIT связано с желанием переосмыслить внутреннюю структуру проекта, чтобы избежать усложнения кодовой базы, а также с необходимостью получить дополнительное время для тестирования и ознакомления разработчиков с особенностями JIT...
| ||
· | 21.02.2019 | Критическая уязвимость в системе управления web-контентом Drupal (39 +3) |
В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2019-6340), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен наивысший уровень опасности - "Highly critical" (20∕25). Проблема устранена в выпусках Drupal 8.5.11 и 8.6.10...
| ||
· | 20.02.2019 | Раскрыты детали уязвимости в WordPress 5.0.0 (78 +7) |
Саймон Скэннелл (Simon Scannell), в прошлом году предложивший метод атаки "PHP Phar deserialization", опубликовал сведения об уязвимости в системе управления контентом WordPress, позволяющей выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте. В обновлениях WordPress 4.9.9 и 5.0.1 была добавлена частичная защита, позволяющая блокировать атаку в основном коде WordPress, но полностью проблема остаётся не исправленной и в актуальном выпуске WordPress 5.0.3 может быть эксплуатирована через дополнительные ошибки в плагинах (отмечается, что проблема проявляется в некоторых популярных плагинах c миллионами активных установок)...
| ||
· | 12.02.2019 | Выпуск виртуальной машины HHVM 4.0 с прекращением поддержки PHP (64 +10) |
Спустя пять лет с момента формирования ветки 3.0 компания Facebook представила выпуск виртуальной машины HHVM 4.0 (HipHop Virtual Machine), поддерживающей выполнение программ на языке Hack (вариант PHP со статической типизацией). С оговорками поддерживается синтаксис PHP 5 и большинство возможностей PHP 7. Код проекта написан на C++ и распространяется под открытыми лицензиями PHP и Zend...
| ||
· | 21.01.2019 | Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера (65 +13) |
Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад...
| ||
· | 08.12.2018 | Уязвимости в PHP и PHPMailer (91 +14) |
В опубликованных на днях корректирующих обновлениях PHP 5.6.39, 7.0.33, 7.1.25 и 7.2.13 устранена неприятная уязвимость (CVE-2018-19518) в штатном PHP-дополнении IMAP, выявленная ещё в октябре. Уязвимость позволяет атаковать web-приложения для работы с электронной почтой или обойти системные ограничения доступа к функциям, выставляемые через опцию disable_functions в php.ini...
| ||
· | 06.12.2018 | Релиз языка программирования PHP 7.3 (121 +9) |
После года разработки представлен релиз языка программирования PHP 7.3. Новая ветка включает серию новых возможностей, а также несколько изменений, нарушающих совместимость...
| ||
· | 21.11.2018 | Уязвимость в движке для создания форумов phpBB (27 +11) |
В популярном свободном движке для создания форумов phpBB выявлена уязвимость (CVE-2018-19274), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4...
| ||
· | 23.10.2018 | Неосмотрительное использование плагина jQuery-File-Upload делает многие сайты уязвимыми (49 +6) |
В плагине jQuery-File-Upload выявлена поучительная уязвимость CVE-2018-9206, показавшая беспечность web-разработчиков и web-администраторов. jQuery-плагин jQuery-File-Upload предоставляет функциональный web-виджет для организации загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Основная функциональность jQuery-File-Upload реализована на JavaScript и выполняется на стороне браузера, при этом в состав также входит набор примеров серверных обработчиков для сохранения отправляемых файлов...
| ||
<< Предыдущая страница (позже) | ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |