Переполнение буфера в PHP HTML Entity Encoder

> Уязвимость признана критической

Она не просто критическая, она адски критическая, потом что многие используют эту функцию для обработки этих данных перед скормлением их базе данных.

Особенно радует, что на 4-ку положили.

все пыхпых одна сплошная дыра. месяца не проходит, чтобы там не нашли какую-нибудь гадость. зато пионэрия на пыхпыхе весело трудится.

ужос

> потом что многие используют эту функцию для обработки этих данных перед скормлением их базе данных

Это ещё зачем? Вы не путаете с экранированием?

Я недавно узнал, что UTF-8 в PHP - говно, но чтоб такое!... =8-()

нет, именно так, и экранирование, и это

> зато пионэрия на пыхпыхе весело трудится.

Не вижу ни криминала, ни порока в весёлом труде. И хотя тон явно
оскорбительный, но, тем не менее, это комплимент ;)

> нет, именно так, и экранирование, и это

Для чего? Пример?

> Я недавно узнал, что UTF-8 в PHP - говно,

UTF-8 - самая нетехнологичная хрень когда-либо придуманная всемирным ИТ-разумом.

ой ой ой ойойой..

(я знаю что это бессодержательное сообщение, но какое содержательное сообщение тут может быть?)

хотя. надо сказать что это надо очень постараться что бы выполнить какой-то код посредством этого переполнения. рекомендую нарушить существующие традиции и таки сходить по ссылке.

> UTF-8 - самая нетехнологичная хрень когда-либо придуманная всемирным > ИТ-разумом.

она таки работает. как правило.

А моск включить слабо?

"possible bufferoverflow that can be triggered when the UTF-8 charset is selected." Т.е. для того что бы заработало нужно что бы была указан UTF-8. Т.е. htmlspecialchars( бла-бла-бла, бла-бла-бла, 'UTF-8'); А по умолчанию ISO-8859-1.

"The third argument charset defines character set used in conversion. The default character set is ISO-8859-1. Support for this third argument was added in PHP 4.1.0."

Интересно много народа включает UTF-8????

2gloomdemon: если есть возможность использовать utf8, почему не воспользоваться?

>> нет, именно так, и экранирование, и это

>Для чего? Пример?

Чтобы трукулхацкеры не совали в доску объявлений свой хтмл-код например.

Большинство пых-пых быдлокодеров даже абревиатуру UTF-8 не осилят, я уж не говорю про какие то там параметры.

> Чтобы трукулхацкеры не совали в доску объявлений свой хтмл-код например.

А, ну, это возможность, а не обязаловка. База сама по себе тут не при чём.

просто жопа, что тут сказать

других слов нет.

НЕ НАЧИНАЙТЕ ПРОЕКТОВ НА PHP!!!

> НЕ НАЧИНАЙТЕ ПРОЕКТОВ НА PHP!!!

Есть, товарищ командир. Какие будут указания?!

mod_perl и mason спасут отца русской демократии!

нале-во! Выполняяять, нна!

>База сама по себе тут не при чём.

База-то не при чем, но что в результате на сайте выводится...

> Интересно много народа включает UTF-8????

Ложная тревога. Можна спать спокойно.

> > НЕ НАЧИНАЙТЕ ПРОЕКТОВ НА PHP!!!

> Есть, товарищ командир. Какие будут указания?!

"Товарищ генерал приказал долго жить!" "Выполняйте приказание".

> Особенно радует, что на 4-ку положили.

Чукча не читатель, да?

В CVS все пофиксили.

For PHP 4 users it is strongly recommended to patch their version of PHP with the following patch until php.net is providing PHP4 updates. http://cvs.php.net/viewvc.cgi/php-src/ext/standard/html.c?r1=1.63.2.23.2.2&r2=1.63.2.23.2.3&view=patch

> mod_perl и mason спасут отца русской демократии!

кто бы еще perl6 дописал. а то чем дальше, тем страньше примеры их выглядят и тем призрачнее перспективы релиза.

> если есть возможность использовать utf8, почему не воспользоваться?

если есть возможность принести пользу всему человечеству, почему не воспользоваться?

> mod_perl и mason спасут отца русской демократии!

Наше вам фи... О мёртвых хорошо или никак.

> О мёртвых хорошо или никак.

Оно не мёртвое, оно в кризалисе. :) http://perl6.ru/

PHP:

Piggy Hole Practically

Pioneer Have Problem

Please, Hack me Properly

Ты забыл продолжить:
PERL -- Practical Extraction and Report Language (официальная ъ
расшифровка)

Про перл не знаю, не задумывался. А галерею свою снес нахрен, на пхп была. Мало мне того что хост на федоре, дык еще из-за этого дергаться.

Есть красивая загадка - как в решете воду носить? И ответ на неё - зимы дождаться. Так вот в случае тырнета и пхп зиму придеться ждать исключительно ядерную!

> Есть красивая загадка - как в решете воду носить?

Клеёночку на дно постелить. А вообще, ты из тех, кто на молоке обжёгся,
а потом на воду дует.

>Клеёночку на дно постелить. А вообще, ты из тех, кто на молоке обжёгся, а потом на воду дует.

Нет, я просто уже старый для такого. Хочется настроить и забыть, а не патчить. Тем более что хост виртуальный, и пока там хостодержец почешется и пропатчит что надо - пройдут годы. Да мне и наплевать было бы если бы дефейснули или еще чего, перезалью с бекапа. Но обязательно найдется какой-нить "гений", который туда спаммобота прикрутит.

А как можно дефейснуть правильно написанное приложение на php?
Тут уж от хостера ничего не зависит.

>Интересно много народа включает UTF-8????

Я включаю везде. В htmlspecialchars тоже. UTF-8 очень удобен на мультиязыковых сайтах. Почему ж его так некоторые не любят? Патрик запретил?

может вызвать переполнение на 7 байт. теперь сами включите мозг и подумайте, насколько это опасно. спасибо за внимание.

> UTF-8 очень удобен на мультиязыковых сайтах.

И как пятое колесо в телеге на одно-двух языковых. Задач никаких не
решает, проблемы добавляет.

>И как пятое колесо в телеге на одно-двух языковых. Задач никаких не решает, проблемы добавляет.

Съезди в прибалтику.

http://www.linux.org.ru/jump-message.jsp?msgid=1640201

> Съезди в прибалтику.

Согласен. Тяжёлый случай.

>А как можно дефейснуть правильно написанное приложение на php?

Использовать уязвимость. Ошибку в библиотеке, или из-за разницы версий.. Ломают же! И вообще, что означает "правильно написаное приложение"? И где его взять? И что с ним можно делать?

>А как можно дефейснуть правильно написанное приложение на php?

А где можно найти правильно написанное приложение на PHP? Ах да, Hello World...

> А как можно дефейснуть правильно написанное приложение на php?

никак. правильные приложение на php - те, что были написаны, но не установлены.

оптимайзера для новой версии ещё нет. банально копируется html.c с новой версии, что прикрывает дыру.

Ну вот, снова эта гадость..

Интересно в 4.3.11, наверно, она бага тоже есть будут ли фиксать ? по cvs -у посмотрел не фиксали и чего теперь делать ? ждать пока не поломают что ли ? :)). на fc 1 в fedoralegacy тоже забили. Весело блин.

Пример firefox заразителен

>> Я недавно узнал, что UTF-8 в PHP - говно, UTF-8 - самая нетехнологичная хрень когда-либо придуманная всемирным ИТ-разумом.

Вы басню про "мартышку и очки" читали? Про php_mbstrings курили? Идите в Контр Страйк поиграйте лучше, ребята.

> А где можно найти правильно написанное приложение на PHP?

Да везде. Есть книги, статьи с описанием того как нужно программировать
с точки зрения безопасности. Рассматриваются все известные подводные
камни. Программисты, использующие эти данные пишут безопасные программы.

Дырки в библиотеках языках практически нереально задействовать даже
опытному хакеру, не говоря уже о детишках. К примеру, чтобы
проэксплойтить проблему в топике, мало того, что надо иметь UTF-8 в
качестве кодировки, так ещё и греческий язык вводить, а после этого
заниматься геморроем с подбором комбинаций для реализайии эксплойта.
А ещё после того, как бедный хакир сможет добраться до момента запуска
вредного кода, окажется, что на уровне ОС ещё стоит какая-нибудь защита.
В-общем, не надо из мухи делать слона. Слон получается некрасивый ;)

> Вы басню про "мартышку и очки" читали? Про php_mbstrings курили?

Ты прав, если php - мартышка, то php_mbstrings - это её очки ;-)))

> Ломают же!

Да. Ломают всё, что плохо написано. Точно так же, как крадут всё, что
плохо лежит. Выводы нужно правильные делать, а не огульные.