Raptem kilka miesięcy temu udostępniono PHP w wersji 5.4, a już w miniony czwartek został wydany kolejny zestaw poprawek w ramach tej gałęzi – już szósta paczka.
Z jednej strony to cieszy – społeczność czuwa nad jednym z popularniejszych języków, ale z drugiej strony smuci fakt, że dopiero na tym etapie łata się takie błędy jak:
- unset($array[$float]) causes a crash
- segfault in mysqlnd_res_meta::set_mode
- ArrayIterator::count() from IteratorIterator instance gives Segmentation fault
- Segfault in DateInterval class when extended
- Extending MessageFormatter and adding property causes crash
- segfault in php_stream_wrapper_log_error with ZTS build
Przecież są to błędy wywalające naszą aplikację. Podobne błędy (jak np. w ArrayIterator) został poprawiony w gałęzi 5.3, co znaczy że błędy były od dawna.
Jeśli ktoś z Was korzysta z PHP w wersji 5.4 lub 5.3 zaktualizujcie się jak najszybciej.
Zend Framework = „DoS”
Ale to nic w porównaniu z tym co znaleziono w Zend Framework (aktualizacje coraz mniej mnie cieszą). Zend Framework do wczoraj podatne było na ataki XXE (XML eXternal Entity) oraz XEE (XML Entity Expansion), które mogły w prosty sposób służyć do przeciążenia serwera – DoS (Denial of Service). Podatne były następujące komponenty:
- Zend_Dom
- Zend_Feed
- Zend_Soap
- Zend_XmlRpc
Jeśli z nich nie korzystaliście, nie macie czego się obawiać, ale dla własnego spokoju lepiej ściągnąć aktualną wersję Zend Framework.