PHP stucca alcuni buchi

Gli autori del famoso linguaggio di scripting open source hanno rilasciato una nuova versione di PHP 4 che corregge alcune vulnerabilità. Problemi anche per la versione 5


Roma – Nel celebre linguaggio di scripting open source PHP sono state scoperte, e in parte già corrette, sei vulnerabilità che gli esperti di sicurezza invitano webmaster e sviluppatori a non sottovalutare.

Le falle, descritte da Secunia in questo advisory , possono essere utilizzate dai cracker per causare denial of service, lanciare attacchi di tipo cross-site scripting, eseguire codice da remoto o aggirare le restrizioni di sicurezza. Alcuni problemi interessano esclusivamente le versioni di PHP 4.x, altre riguardano anche le più recenti release 5.x.

Attualmente il team di sviluppo di PHP ha corretto le vulnerabilità di PHP 4.x rilasciando la release 4.4.1, ma a breve si attende l’arrivo di una patch anche per la versione 5.x.

“Tutti gli utenti di PHP 4.3 e 4.4 sono incoraggiati ad aggiornare all’ultima versione”, si legge sul sito PHP.net .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Asterus scrive:
    Errore inspiegabile Analysis Services
    Class does not support Automation or does not support expected interfacequesto è il messaggio che ricevo quando Analysis Services cerca di connettersi al server di SQL 2000, ho installato la SP4 per entrambi ma non c'è verso.XP Pro aggiornato regolarmente.SQL mi funziona, l'Enterprise Manager anche, è solo l'Analysis che restituisce l'errore. Ho ripetuto l'installazione su una VM e funziona senza problemi, non so che fare, qualcuno ha già avuto il problema e trovato una soluzione?
  • Solvalou scrive:
    ok alle limitazioni a dimensione dati...
    Ma limitare cpu e ram? Finche' un database eccede la capacita' prevista, un messaggio di errore esplicito e via. Ma quando uno volesse mettere alla prova oracle su una macchina multicore/cpu e con memoria a bizzeffe, e oracle finisse molto dietro a un postgres o a un mysql che riescono a sfruttare meglio la macchina? Anche se lo sviluppatore ha perfettamente presente l'effetto delle limitazioni, psicologicamente oracle non figura certo bene.
  • Anonimo scrive:
    intervenga l'antitrust
    contro il monopolista oracle e il dragasaccocce veliero ellison
  • Anonimo scrive:
    Ed MSDE?
    Non vedo particolari vantaggi rispetto ad un MSDE che viene integrato con molti sw ed è a tutti gli effetti un SQL Server 2000, senza nemmeno la limitazione del GB di RAM e dei 4GB di dati utente (se si splittano i dati su più Database).Vediamo se tra qualche settimana MS rilascerà la versione 2005 di MSDE.
    • opazz scrive:
      Re: Ed MSDE?
      C'è gia da tempo SQL 2005 Express..Dimenticavo il link..http://lab.msdn.microsoft.com/express/sql/default.aspxCmq non confonderei i due prodotti, visto che poi tra l'altro le "richieste" massime son le stesse:Supports 1 CPU, but can be installed on a server with any number of processors Maximum 1 GB addressable RAM Maximum 4 GB database size ==================================Modificato dall'autore il 02/11/2005 18.48.16
  • Anonimo scrive:
    Re: bene!
    ma che licenza ha quello scaricato dal sito web?
  • Anonimo scrive:
    E se uso macchine virtuali ...
    Oracle ha delle sofisticate e costose tecnologie di GRID per i DB e gli AS.Se però ad ogni utente venisse dedicata una macchina virtuale con sopra questo DB e un AS free si creerebbe un modo alternativo di suddividere le risorse, lasciando la gestione della fault tolerance alle macchine virtuali.Non mi stupirei di vedere nel futuro soluzioni di questo tipo.Tra l'altro in questo modo ogni utente potrebbe volutamente o accidentalmente fare danni solo a se stesso essendo isolato in una macchina virtuale, con indubbi vantaggi dal punto di vista della sicurezza e del downtime collettivo.
  • Anonimo scrive:
    Re: bene!
    Se e' per quello puoi anche scaricarla dal sito Oracle, senza troppa fatica. Basta registrarsi e giurare loro per l'eternita' di non farne usi terroristici.
  • opazz scrive:
    A me non piace il licensing..
    Ne l'EULA allo scaricamento..Per il resto parliamone.. Solo che.. E' una beta, e la versioen definitiva rimarrà sempre gratuita? Non v'è certezza... :o
    • Anonimo scrive:
      Re: A me non piace il licensing..
      - Scritto da: opazz
      Ne l'EULA allo scaricamento..

      Per il resto parliamone.. Solo che.. E' una beta,
      e la versioen definitiva rimarrà sempre gratuita?
      Non v'è certezza... :o
      Quello che ti scarichi è valido solo fino al 2006
      • opazz scrive:
        Re: A me non piace il licensing..
        Ti par poco per un software che potenzialmente potresti usare come alternativa ad altri?
        • Anonimo scrive:
          Re: A me non piace il licensing..
          - Scritto da: opazz
          Ti par poco per un software che potenzialmente
          potresti usare come alternativa ad altri?E' ottimo per scopi didattici o per sviluppare. Ma fornirlo a qualche cliente è da incoscienti (parlo di questa versione) per motivi di licenza
          • Anonimo scrive:
            Re: A me non piace il licensing..
            - Scritto da: Anonimo

            - Scritto da: opazz

            Ti par poco per un software che potenzialmente

            potresti usare come alternativa ad altri?

            E' ottimo per scopi didattici o per sviluppare.
            Ma fornirlo a qualche cliente è da incoscienti
            (parlo di questa versione) per motivi di licenzaScrivo anche il perché:BETA TRIAL LICENSE: Oracle Corporation ("Oracle") grants to you a no-charge trial license to use the pre-production beta version of the Oracle Database Express Edition software, documentation and product training (the "Software") provided to you by Oracle solely for evaluation purposes until January 31, 2006.^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^eEither party may terminate the license for the Software at any time. Upon termination, you shall cease using the Software.
          • opazz scrive:
            Re: A me non piace il licensing..
            Appunto non mi piace il licensing...Altre versioni "express" IBM Docet, son versioni da fornire a clienti, questa NON LO E'..
          • KC scrive:
            Re: A me non piace il licensing..
            - Scritto da: Anonimo
            Ma fornirlo a qualche cliente è da incoscienti
            (parlo di questa versione) per motivi di licenzafornire 1 kualsiasi versione beta ai clienti E' da inkoscienti e nn solo x la licenza...
          • Anonimo scrive:
            Re: A me non piace il licensing..
            - Scritto da: KC
            fornire 1 kualsiasi versione beta ai clienti E'
            da inkoscienti e nn solo x la licenza...Potresti scrivere come scriviamo noialtri?
          • Anonimo scrive:
            Re: A me non piace il licensing..
            Lavoro in Oracle italia, ma credo di essere abbastanza critico nei confronti dell'azienda: ad esempio non mi e' piaciuto l'acquisto di InnoDB.Invece questa operazione di Oracle XE e' stata una scelta coraggiosa e importante, dal mio punto di vista. Vi ricordo che: 1) le limitazioni dettate dalla clausola BETA riguardano solo la versione Beta e sono sacrosante. Aspettate la versione ufficiale per non avere quelle limitazioni.2) rimarra' gratuita NATURALMENTE anche e soprattutto dopo la versione BETA3) le limitazioni di CPU e RAM riguardano esclusivamente quello di cui il server fara' uso. Potete installarlo su un server con 4 GB, tanto oracle ne usera' uno solo.4) le limitazioni non riguardano le CPU dual core. Potete metterla tranquillamente su processori Dual Core.5) potete inserirlo nei vostri prodotti embedded, senza problemi. Cosa volete di piu'? :-)un salutone.Scott.
  • Anonimo scrive:
    la gallina dalle uova d'oro
    ecco quello che e' l'opensource per i colossi, finalmente vedono il modo di sfruttarlo per i loro scopi e ci fanno pure bella figura, si ok non e' open questo database, ma e' un primo passo... hanno capito che dietro il critikato mondo di sviluppatori open e free ce' cultura e qualita' ! Hermes
    • Anonimo scrive:
      Re: la gallina dalle uova d'oro

      che dietro il critikato mondo di sviluppatori open e free
      ce' cultura e qualita' ! HermesSoprattutto cultura :D
  • Ekleptical scrive:
    Nato già vecchio...
    Non per la tecnologia del db in sè, su cui non sono in grado di pronunciarmi, ma per le limitazioni scelte.A parte che sul mio computer, dalle specifiche massime descritte, già ora non funziona (perchè sfora 2 limiti verso l'alto, non verso il basso!)...Cmq basterà aspettare il 2007 perchè il computer medio "da supermercato" abbia multi-core (e quindi 2 CPU effettive) e più di 1Gb di RAM.Fra un anno, anche per l'utente sviluppatore che ci vuole dare un'occhiata, sarà inutilizzabile!
    • Anonimo scrive:
      Re: Nato già vecchio...
      Immagino che i limiti siano relativi solo a quante risorse può utilizzare, tipo "al max utilizzo 1GB di ram e 4 GB di dati)
      • twister scrive:
        Re: Nato già vecchio...
        2.3 Licensing RestrictionsThis section covers the following topics: * Oracle Database XE CPU Limitations * Oracle Database XE Installation and Execution Restrictions * Oracle Database XE User Data Limitations2.3.1 Oracle Database XE CPU LimitationsIf Oracle Database XE is installed on a computer with more than one CPU, then it will consume at most an equivalent of one CPU's worth of processing resources. For example, on a computer with two CPUs, if two Oracle database clients try to simultaneously execute CPU-intensive queries, then the Oracle Database 10g Enterprise and Standard Editions will use both CPUs to efficiently process the queries. However, with Oracle Database XE, the Oracle database will process the queries at the rate of a single CPU. To utilize the full processing resources of your computer, upgrade to Oracle Database 10g Standard Edition or Enterprise Edition.2.3.2 Oracle Database XE Installation and Execution RestrictionsOn a given hardware, only one installation of the Oracle Database XE software can be performed. This does not affect any existing installation or new installations of Oracle Database 10g Standard Edition or Enterprise Edition. In addition, users can run only one instance of the Oracle Database XE database at any given time. When an Oracle Database XE instance is running, a command to start the second Oracle Database XE instance will fail with an error. The service for the second instance will fail to start. To run more than one Oracle Database server instance or install more than one copy of the database software, upgrade to Oracle Database 10g Standard Edition or Enterprise Edition.2.3.3 Oracle Database XE User Data LimitationsThe maximum amount of user data in an Oracle Database XE database cannot exceed 4 GB. If the user data grows beyond this limit, then an ORA-12592 error will appear. To use more than 4 GB of user data, upgrade to Oracle Database 10g Standard Edition or Enterprise Edition
        • Anonimo scrive:
          Re: Nato già vecchio...
          Quindi riassumendo:utilizza al massimo 1 GB di RAM (se ne hai installati 2 GB meglio x te, semplicemente Oracle XE non li usa tutti)idem per i processori: hai un biprocessore? bene, Oracle XE si limita ad utilizzarne uno solo.questo significa che lo potete installare su qualunque macchina ed è Oracle stesso ad autolimitarsi.limite, inoltre, per 4GB di dati.limite ad una sola istanza. si potranno usare più schema ma una sola istanza.nessun limite esplicito sugli utenti.... detto tutto questo, conoscendo Oracle, io mi ci getterò a fionda (già scaricato); per la maggior parte di applicazioni web ad oggi è abbondantemente carrozzato, IMHO (anche in base al fatto di non avere limitazioni in termini di utenti)
          • Anonimo scrive:
            Re: Nato già vecchio...
            - Scritto da: Anonimo
            detto tutto questo, conoscendo Oracle, io mi ci
            getterò a fionda (già scaricato); per la maggior
            parte di applicazioni web ad oggi è
            abbondantemente carrozzato, IMHO (anche in base
            al fatto di non avere limitazioni in termini di
            utenti)Hai dimenticato due clausole della licenza:BETA TRIAL LICENSE: Oracle Corporation ("Oracle") grants to you a no-charge trial license to use the pre-production beta version of the Oracle Database Express Edition software, documentation and product training (the "Software") provided to you by Oracle solely for evaluation purposes until January 31, 2006.eEither party may terminate the license for the Software at any time. Upon termination, you shall cease using the Software.Spero tu non stia parlando di paizzarlo a dei clienti
    • Anonimo scrive:
      Re: Nato già vecchio...
      Guarda che anche con queste specifiche hw limitate ci puoi far girare un signor database...
    • Anonimo scrive:
      Re: Nato già vecchio...
      Mettilo su un Linux nudo e crudo, senza X e senza servizi inutili, fagli fare solo il db server, separa dati, indici, redolog, undo tablespace su dischi separati SCSI locali, configuralo e mantienilo a puntino avrai un dbserver bello tostino.Poi se invece vuoi un missile e il db ti serve solo per amministrare i dati di un sito web mettici su Mysql, ma li' ti scordi tutte le belle cose che fanno di ORA10g un gran bel giocattolone.
      • Anonimo scrive:
        Re: Nato già vecchio...
        - Scritto da: Anonimo
        Mettilo su un Linux nudo e crudo, senza X e senza
        servizi inutili, fagli fare solo il db server,
        separa dati, indici, redolog, undo tablespace su
        dischi separati SCSI locali, configuralo e
        mantienilo a puntino avrai un dbserver bello
        tostino.Che appena comincerai a fare qualcosa di decente ti mollera'...Piuttosto metti su PostgreSQL...
Chiudi i commenti