USN-4279-1: PHP удаленное выполнение кода

Обнаружена уязвимость в php5, php7.0, php7.2, php7.3, уязвимые релизы:

Ubuntu 19.10
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
Ubuntu 12.04 ESM

заплатки уже вышли, подробности тут: https://usn.ubuntu.com/4279-1/

Обновление php до версии 7.2 в trusty tahr (14.04)

Как и обещал (https://pustovoi.ru/2019/2978) решил вопрос с php 7.2 под Ubuntu 14.04.

Собственно, что б не звали меня единоличником, забэкпортил его в свой ppa под ubuntu 14.04 (debian weezy) на launchpad. Обновления не обещаю.

Подключается командой:

sudo add-apt-repository ppa:serp2002/php7-backport
sudo apt-get update

При установке они НЕ заменяют php5, а тоят спокойненько рядом.

PS обновления для более свежих дистрибутивов можно получать из ppa Ondřej Surý:

add-apt-repository ppa:ondrej/php

Про обновление PHP на CentOS

Кто в повседневной жизни пользуется какой-нибудь CMS, или админит хостинг сервер не раз наверное сталкивался с необходимостью обновления версии PHP. Вот и я этим вопросом очередной раз озадачился.

Сегодня расскажу как это было на CentOS. (Людителям битрикса посвящается).

С 30 июня 2019 года будет ограничена поддержка наших продуктов на PHP версии ниже 7.1. Пожалуйста, запланируйте обновление PHP или обратитесь в службу технической поддержки вашего хостинга.

Читать

Профилактика SQL-инъекций

SQL-инъекции (также известные как «Нарушение в целостности структуры SQL-запроса») являются одними из самых распространённых и наиболее опасных уязвимостей в вопросе безопасности. SQL-инъекции очень опасны, потому что они открывают двери хакерам в вашу систему через веб-интерфейс, и позволяют получить неограниченный доступ: например удалять таблицы, изменять базу данных, и даже получить доступ к внутренней корпоративной сети. SQL-инъекции это чисто программная ошибка, и не имеет ничего общего с хост-провайдером. Итак, вы занимались поисками безопасного JSP хостинга, PHP хостинга, или любого другого, вы должны знать, что за профилактику SQL-инъекций несут ответственность только разработчики, а не хост провайдер.

Читать

Написание системных утилит на PHP CLI

Для большинства специалистов PHP не является языком, который бы всерьёз использовался для написания консольных утилит, и для этого есть много причин. PHP изначально разрабатывался как язык для создания веб-сайтов, но, начиная с PHP 4.3, в 2002-ом году появилась официальная поддержка режима CLI, поэтому он уже давно перестал быть таковым. Разработчики Badoo на протяжении нескольких лет вполне успешно используют множество интерактивных CLI-утилит на PHP.

В данной статье нам хотелось бы поделиться своим опытом работы с CLI-режимом в PHP и дать несколько рекомендаций тем, кто собирается писать скрипты на PHP, при условии, что они будут запускаться в *nix-системе (впрочем, почти всё верно и для Windows).

Рекомендации

Скорость работы

Распространено мнение, что PHP — язык медленный, и таковым он является на самом деле. Для PHP CLI рекомендуется не использовать тяжелые фреймворки и даже просто большие библиотеки на PHP по двум причинам:

  1. Время работы include/require в CLI-режиме будет всегда включать в себя парсинг и исполнение, т.к. байткод в этом режиме не кэшируется (по крайней мере — по умолчанию), а значит, инициализация займет много времени, даже если из-под веб-сервера всё работает достаточно быстро.
  2. Пользователи веб-сайтов привыкли ждать некоторое количество времени для загрузки страницы (около 1-ой секунды, а иногда и чуть больше пользователем воспринимается вполне нормально), а вот сказать то же самое про CLI нельзя: даже задержка в 100 мс уже будет ощутимой, а в 1-у секунду и более может раздражать.

Читать

Пасхальные яйца в PHP

Пожалуй, всем известно, что сегодня, 4 апреля 2010 года, и католики и православные отмечают Пасху. Пользуясь случаем, я решил написать статью о пасхальных яйцах, только не таких, которые красят, а о тех, происхождение которых связано с тематикой Хабра. Речь пойдёт о пасхальных яйцах языка PHP.

Вкратце: Оказывается, если добавить особую строчку к GET-запросу, обрабатываемому интерпретатором PHP, можно заставить сервер вернуть «секретную» картинку, либо информацию о разработчиках PHP. Примеры:
http://vkontakte.ru/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42
http://ru.wikipedia.org/?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
http://www.liveinternet.com/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

(картинки в посте грузятся с тырнета)

Читать