Jump to content
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

Sign in to follow this  
fil79

PHP-Segurança

Recommended Posts

fil79

Boas

Ao fazer um scan de um site (usando o Acutenix) que estou a fazer recebi este alerta vermelho:

Vulnerability description

This alert was generated using only banner information. It may be a false positive.

The PHP development team would like to announce the immediate availability of PHP 5.2.5. This release focuses on improving the stability of the PHP 5.2.x branch with over 60 bug fixes, several of which are security related. All users of PHP are encouraged to upgrade to this release.

Security Enhancements and Fixes in PHP 5.2.5:

    * Fixed dl() to only accept filenames. Reported by Laurent Gaffie.

    * Fixed dl() to limit argument size to MAXPATHLEN (CVE-2007-4887). Reported by Laurent Gaffie.

    * Fixed htmlentities/htmlspecialchars not to accept partial multibyte sequences. Reported by Rasmus Lerdorf

    * Fixed possible triggering of buffer overflows inside glibc implementations of the fnmatch(), setlocale() and glob() functions. Reported by Laurent Gaffie.

    * Fixed "mail.force_extra_parameters" php.ini directive not to be modifiable in .htaccess due to the security implications. Reported by SecurityReason.

    * Fixed bug #42869 (automatic session id insertion adds sessions id to non-local forms).

    * Fixed bug #41561 (Values set with php_admin_* in httpd.conf can be overwritten with ini_set()).

A minha questão é se o facto do servidor ter a versão 5.2.4 do PHP torna realmente este site muito vulnerável. Desde já agradeço


MCITP-MCTS-MCP

Share this post


Link to post
Share on other sites
Caya

Pelo que vejo, a única coisa que isso diz é que está disponível uma nova versão do PHP, não diz que é vulnerável.

Share this post


Link to post
Share on other sites
IRX773

Acho que não ... podes é ter incompatibilidades nó código que fazes para lá se for para versão mais recente (sim pode parecer que não por ser uma alteração pequena na versão, mas isso acontece ... principalmente com templates).

Quanto à segurança estar comprometida acho que não ... acho que "não é por aí que o gato vai às filhoses".  ;)

Share this post


Link to post
Share on other sites
KiNgPiTo

Não é preciso nada para avisar que se deve actualizar... Se não queres actualizar já para a 5.3 tens a 5.2.9.2 (se não me engano) que foi a ultima 5.2 a sair.

Se há perigo na segurança? Poderá haver se funções que usas melhoraram e/ou corrigiram em versões recentes...

Share this post


Link to post
Share on other sites
IRX773

Houve uma release do PHP 5.x.x que era tão "bugosa" que eles próprios não a recomendavam, mas já não me recordo qual era ..

Também ouvi falar ... mas penso que não era esta ... mas de qualquer das formas recomendo a actualizares a versão do php do servidor

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.