1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. Software
  4. Entwicklungssoftw…

PHP 4.3.3 erschienen

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. PHP 4.3.3 erschienen

    Autor: Golem.de 26.08.03 - 09:56

    Nach einem umfangreichen Test zur Qualitätssicherung haben die PHP-Entwickler mit PHP 4.3.3 ein weiteres Update der freien Scriptsprache für Web-Applikationen, PHP, veröffentlicht. Das Update beseitigt einige Sicherheitslücken sowie Fehler und bringt die mitgelieferten Bibliotheken auf einen aktuellen Stand.

    https://www.golem.de/0308/27101.html

  2. Re: PHP 4.3.3 erschienen

    Autor: radookee 26.08.03 - 10:15

    JUHU! *update*

  3. Re: PHP 4.3.3 erschienen

    Autor: xwolf 26.08.03 - 10:30

    Na toll...

    schon wieder Sicherheitslücken bei PHP, so dass der ganz Server
    neu kompiliert werden muß :(

    Wann kriegen die es endlich mal sicher?!?!?

  4. Re: PHP 4.3.3 erschienen

    Autor: Marco Frischkorn 26.08.03 - 10:43

    Also mir stinkts auch langsam... kaum hab ich die letzte Version compiliert und alles zum laufen gebracht, schon muss ich wieder ran.

    Dummerweise kann man sich nicht drauf verlassen das schon nichts passieren wird, wenn man die PHP-Version auf dem alten Stand läßt. Da draussen gibts genug Skript-Kiddis die das Hacken von Servern als Lebensziel zu haben scheinen :/

    Aber wenn Admin sein so einfach wäre, dann könnte das ja jeder ;)

  5. Re: PHP 4.3.3 erschienen

    Autor: Geek 26.08.03 - 10:47

    xwolf schrieb:

    > schon wieder Sicherheitslücken bei PHP, so dass
    > der ganz Server
    > neu kompiliert werden muß :(

    Häh? Den ganzen Server? Kompilier es als Modul, dann dauert das Update asu den Quellen auch manuell keine 5 Minuten.

  6. Re: PHP 4.3.3 erschienen

    Autor: Michael 26.08.03 - 11:32

    Und ich dachte, nur Microsofts Software sei unsicher.......

  7. Re: PHP 4.3.3 erschienen

    Autor: RATM 26.08.03 - 11:35

    Schreib doch einfach ein skript, das dir die quellen automatisch zieht und uebersetzt. das ist einmalig etwas arbeit aber danach nur noch ein shell kommando und die sache erledigt sich automatisch.

  8. Re: PHP 4.3.3 erschienen

    Autor: Markus 26.08.03 - 12:00

    Hi,

    Nich wirklich :)
    Microsoft wird immer nur schlecht gemacht weil das OS was kostet :)
    Linux ist in manchen bereichen genauso unsicher.
    z.B. lokale Anmeldung als root ohne root Passwort usw...

    Ist alles ein hin und her.
    Das Ultimo ist nicht dabei aber im Servereinsatz (wenns nicht gerade ein Arbeitsgruppen M$ Server ist) ist Linux schon die bessere wahl.

    ...
    Markus

  9. Re: PHP 4.3.3 erschienen

    Autor: Kascha 26.08.03 - 12:51

    So seh ich das auch, und den configure Befehl der beim letzten Mal funktioniert hast kannste dir einfach ins src Dir kopieren. Einfach config.nice kopieren und ausführen;

    ./config.nice && make -s && sudo make install sollte es tun. Ich finde das nicht sehr umständlich, sofern man PHP als Modul gebaut hat.

  10. Re: PHP 4.3.3 erschienen

    Autor: xwolf 26.08.03 - 13:16

    Jajaja,
    red du mal über einen Single-User/Few-Domain-Server...


    Bei einem Server mit ein paar Hundert virtuellen Hosts mit über 300 Usern auf
    dem Filesystem ist es mit einem einzigen Modul das du als DSO
    einbindest, nicht getan.

  11. Re: PHP 4.3.3 erschienen

    Autor: nicolas 26.08.03 - 14:33

    wie kann man php noch in den apache server intigrieren ?
    welche vorteile bringt dies ?
    besonders in hinsicht zu:
    > Bei einem Server mit ein paar Hundert virtuellen Hosts mit über 300 Usern auf

  12. Re: PHP 4.3.3 erschienen

    Autor: waq 26.08.03 - 15:37

    Wäre es Dir lieber, wenn man es wie die kommerzielle Konkurrenz machen würde, und nur dann zugibt, dass es ein Sicherheitsloch gab, wenn diese von jemand anders gefunden wurde?

  13. Re: PHP 4.3.3 erschienen

    Autor: Michael 26.08.03 - 17:27

    Du hast bei den letzten Viren und Sicherheitslücken offenbar total geschlafen. Also wer nicht mitbekommen hat, daß der RPC-Wurm (Lovsun) erst dann erzeugt wurde, als MS die Lücke gefunden und geschlossen hatte und dann informierte, ist eigentlich das beste Beispiel für totale Ignoranz.

    Zu deiner Beruhigung: In Hochsicherheitsumgebungen ist PHP absolut verboten....

  14. Re: PHP 4.3.3 erschienen

    Autor: Andi 26.08.03 - 17:27

    Dann machst du was falsch.. Ich hab eben mal den Apache auf 1.3.28 plus mod_ssl inklusive PHP 4.3.3 geupdatet und hat gerade mal 5min gebraucht.

    Ok ohne runterladen und entpacken eingerechnet, dann brauchs glaub 6min.

    384Vhosts + 268 User.. Wo ist das Problem.. Schreibt man sich nen Shellscript und feritg ist das Update innerhalb von wenigen Minuten und wird immer gleich installiert, da muss man sich dann kein kopf machen falls mal 2 Updates schnell hintereinander folgen und ich hab nicht nur einen Server diese größe hier stehen.

    /Andi

  15. Re: PHP 4.3.3 erschienen

    Autor: waq 26.08.03 - 19:59

    Michael schrieb:
    > Du hast bei den letzten Viren und
    > Sicherheitslücken offenbar total geschlafen.

    Nein.

    > Also wer nicht mitbekommen hat, daß der RPC-Wurm
    > (Lovsun) erst dann erzeugt wurde, als MS die
    > Lücke gefunden und geschlossen hatte und dann
    > informierte, ist eigentlich das beste Beispiel
    > für totale Ignoranz.

    Ich habe nicht Microsoft gesagt, und auch nicht gemeint. Was kann ich dafür, dass Du offensichtlich in etwas zu groben Schubladen denkst? Trink weniger Kaffee und halt mich aus deinen Problemen raus.

    Es ist einfach so, dass Open-Source-Projekte ein öffentliches Changelog haben, und da steht auch drin, wenn nebenbei irgendwo ein Buffer-Overflow gefixt wurde, selbst wenn der überhaupt nicht auszunutzen war.
    Bei kommerzieller Software wird nie jemand erfahren, dass ingendwo im Code mal was war, was vielleicht ein Sicherheitsloch hätte werden können, da wird sowas still und heimlich gefixt. Das kritisiere ich auch gar nicht, die Entwicklung kommerzieller Software findet nunmal nicht öffentlich statt, ich sehe keinen Grund, warum die unwichtige Interna veröffentlichen sollten.

    Ich wollte nur darauf hinweisen, dass nur weil bei kommerzieller Software nicht jede Code-Änderung veröffentlich wird, da nicht auch öfters mal Buffer-Overflows dabei sind.

    > Zu deiner Beruhigung: In
    > Hochsicherheitsumgebungen ist PHP absolut
    > verboten....

    Kommt drauf an, wie mach Hochsicherheitsumgebung definiert.
    Wenn es um richtige Hochsicherheitsumgebungen geht, ist auch Windows verboten.

  16. Re: PHP 4.3.3 erschienen

    Autor: Michael 26.08.03 - 21:13

    Na, wenn Du nicht geschlafen hast dann verdrehst Du Tatsachen.

    Deine OpenSource-Philosophie ist leider auch Quatsch. Es geht nicht darum, ob ein buffer-overflow irgendwo ist, sondern darum, wann er durch wen entdeckt wurde. Die Behauptung, daß OpenSource deswegen sicher sei, weil der Code offen liegt ist auch relativ lächerlich, denn Fehler eines Codes zu erkennen durch bloses Lesen ist wohl die schwachsinnigste Behauptung seit es Computer gibt.

    Du scheinst darüber hinaus den Unterschied zwischen PHP und Windows nicht zu kennen.... Es gibt Windows 2000 Server in Hochsicherheitsumgebungen wobei allerdings Leute fürs Hardening zuständig sind, die wissen, was ein Betriebssystem ist (Linux eingeschlossen).

  17. Re: PHP 4.3.3 erschienen

    Autor: waq 27.08.03 - 00:23

    Michael schrieb:
    >
    > Na, wenn Du nicht geschlafen hast dann verdrehst
    > Du Tatsachen.

    Und Du legst mir ständig sachen in den Mund, die überhaupt nicht von mir stammen.

    > Deine OpenSource-Philosophie ist leider auch
    > Quatsch. Es geht nicht darum, ob ein
    > buffer-overflow irgendwo ist, sondern darum,
    > wann er durch wen entdeckt wurde.

    Die meisten Buffer-Overflows werden ohne viel Trara einfach behoben und danach interessierts keinen mehr.
    Selbst bei Open-Source-Projekten wird das dann eher beiläufig erwähnt. Bei Closed-Source Software bei solchen Fällen idR gar nicht.
    Dass man wegen dieses Unterschieds hier oder bei heise öfter von Buffer Overflows in OSS-Software hört, liegt hauptsächlich daran, und nich daran, dass OSS mehr davon hätte. Darauf wollte ich hinweisen. Was Du mir sagen willst, frage ich mich immer noch.

    > Die
    > Behauptung, daß OpenSource deswegen sicher sei,
    > weil der Code offen liegt ist auch relativ
    > lächerlich, denn Fehler eines Codes zu erkennen
    > durch bloses Lesen ist wohl die schwachsinnigste
    > Behauptung seit es Computer gibt.

    Ob jemand behauptet, etwas sei Schwachsinn, ist irrelevant, wenn man empirische Daten hat, die das Gegenteil aussagen. Schonmal auf der Entwickler-Liste eine OSS-Projekts gewesen, z.B. auf PHP-DEV? Wenn nein, rede nicht von Dingen, von denen Du keine Ahnung hast.

    Was glaubst Du, ist ein Code Review?
    Die meisten Buffer Overflows werden entweder bei sowas gefunden, oder weil jemand mal in den Code von jemand anders reinschaut, und da den Overflow findet, was einem eher auffält, wenn man sich neu in den Code einarbeitet, als wenn man ihn schon kennt.
    Oder irgendjemand hat deswegen n Problem, guckt in den source, findet den Fehler und schickt n Patch.

    > Du scheinst darüber hinaus den Unterschied
    > zwischen PHP und Windows nicht zu kennen....

    Das eine ist ein Betriebssystem, das andere eine Scriptsprache.

    > Es gibt Windows 2000 Server in
    > Hochsicherheitsumgebungen wobei allerdings Leute
    > fürs Hardening zuständig sind, die wissen, was
    > ein Betriebssystem ist (Linux eingeschlossen).

    Kommt drauf an, wie man Hochsicherheitsumgebung definiert. Wenn jemand Windows für die Steuerung eines AKW einsetzen würde, würde ich da weg ziehen.
    Und ich sehe Sicherheitstechnisch keinen so grossen Unterschied zwischen PHP und Windows 2000... bei beiden gibts regelmässig Sicherheitslücken, die dann relativ fix geschlossen werden.

    Wenn man das System nicht aktuell hält ist es eh unsicher und wenn man es aktuell hält ist man eigentlich immer auf dem Stand "keine bekannten Sicherheitslücken".

  18. Re: PHP 4.3.3 erschienen

    Autor: loph 27.08.03 - 05:44

    >384Vhosts + 268 User.. Wo ist das Problem.. [...] und ich hab nicht nur einen Server diese größe hier stehen.

    poser! :)

    SCNR

  19. Re: PHP 4.3.3 erschienen

    Autor: Michael 27.08.03 - 08:18

    ich weiß was ein code review ist. ich entwickle seit 18 jahren software. ich unterstelle, daß es auch bei microsoft code-reviews gibt bzw. ich weiß das. und trotzdem gibts bugs. ist das für dich nicht genug empirischer beweis, daß die behauptung, code.review im open software prinzip löst das problem nicht???? oder willst du etwa behaupten, nur weil theoretisch mehr aber ohne finanzielles engagement suchen, wirds sauberer?

    du hast dich schwer als theoretiker geoutet......

    dass fehler softwareimmanent ist führt dazu, daß php und windows fehler haben. aber jede andere software auch. übrigens hat red hat in 2002 mehr patches produziert als für w2k nötig waren.

    daß aber php in seiner konstruktion dinge verlangt, die ein bs zur öffnung zwingt ist etws ganz anderes als über die sicherheit eines bs zu philosophieren. erstaunlich, daß du mir unkenntnis vorwirfst. insofern ist php mit windows zu vergleichen auch totaler unsinn. äpfel und birnen. schreib blos nie programme, die scheinen sehr unstruktuiert und unleserlich zu werden. das beste beispiel für die größte fehlerquelle und die unmöglichkeit, per code-review alle fehler zu entdecken.

    ist das der versuch "Angriff ist die beste verteidigung"?

  20. Re: PHP 4.3.3 erschienen

    Autor: waq 27.08.03 - 09:40

    Michael schrieb:
    > ich weiß was ein code review ist. ich entwickle
    > seit 18 jahren software.

    Das muss nichts heissen. Ich kenne Leute, die es nochlänger machen, und trotzdem nix können.

    > ich unterstelle, daß es
    > auch bei microsoft code-reviews gibt bzw. ich
    > weiß das. und trotzdem gibts bugs. ist das für
    > dich nicht genug empirischer beweis, daß die
    > behauptung, code.review im open software prinzip
    > löst das problem nicht????

    Nein. Ich sehe nicht im geringsten, warum dies das Argument, dass durch einen besseren Code-Review (der angeblich durch das "viele-Augen-Prinzip" herbeigeführt wird) mehr bugs gefunden werden, wiederlegen sollte, nicht im geringsten.
    Ich weiß nunmal, dass in der Realitat das viele-Augen-Prinzip wirklich eine Rolle spielt. Es würde dich wundern, wie oft mal eben jemand, von dem man noch nie etwas gehört hat, nen Patch gegen nen Segfault oder nen Buffer Overflow einschickt.
    Ich habe das gesehen. Warum ich deswegen ein Theoretiker bin müsstest Du mir mal erklären.

    > oder willst du etwa
    > behaupten, nur weil theoretisch mehr aber ohne
    > finanzielles engagement suchen, wirds sauberer?

    Nicht zwingend. Kommt auf das Projekt an. Einige werden dadurch sehr sauber, bei anderen hilfts nicht viel.
    Der TCP-Stack des Linux-Kernels z.B. wurde bei einem sehr detaillierten Review qualitativ deutlich besser bewertet als ALLE kommerziellen Alternativen. Der Apache war von der Fehleranzahl her mit kommerziellen Webservern vergleichbar. Und der WU-FTPD gehört wohl zur unsichersten Software, die je geschrieben wurde.

    > du hast dich schwer als theoretiker geoutet......

    Danke, gleichfalls.

    > dass fehler softwareimmanent ist führt dazu, daß
    > php und windows fehler haben. aber jede andere
    > software auch. übrigens hat red hat in 2002 mehr
    > patches produziert als für w2k nötig waren.

    Wo wir bei Äpfel und Birnen sind. Wie kann man bei einem OS wie Win2k mit einer mehrere Tausend Programme beinhaltenden Distribution wie RedHat so einen quantitativen Vergleich ziehen?

    > daß aber php in seiner konstruktion dinge
    > verlangt, die ein bs zur öffnung zwingt

    Was Du mal ausführen könntest.

    > erstaunlich, daß du mir
    > unkenntnis vorwirfst.

    Danke, gleichfalls.

    > insofern ist php mit
    > windows zu vergleichen auch totaler unsinn.

    Du hast Windows in die Diskussion gebracht, wenn ich darauf hinweisen darf. Und einen direkten Vergleich habe ich überhaupt nicht gezogen.

    > äpfel und birnen. schreib blos nie programme,
    > die scheinen sehr unstruktuiert und unleserlich
    > zu werden.

    Meiner Erfahrung nach ist das Gegenteil der Fall. Warum werden Windows-Trolle eigentlich ständig persönlich und ziehen so abstruse Schlüsse über den Gegenüber?

    > ist das der versuch "Angriff ist die beste
    > verteidigung"?

    Und dass sagt der, der hier persönlich wird, so ham wir's gern.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Anwendungsexperte (w/m/d) Dokumentenmanagement
    BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH, verschiedene Standorte
  2. Referent für Projektmanagement mit Fokus Terminplanung und Projektsteuerung (m/w/d)
    TenneT TSO GmbH, Bayreuth
  3. Stellvertretender Teamleiter (m/w/d) Fertigungsplanung / Supply Chain und Projekte
    SKF GmbH, Mühlheim an der Donau
  4. (Junior) System Engineer (m/w/d) Information Security
    Controlware GmbH, Meerbusch

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (u. a. Gears 5 für 9,99€, Forza Horizon 4 für 29,99€)
  3. Über 3400 Angebote mit bis zu 90 Prozent Rabatt


Haben wir etwas übersehen?

E-Mail an news@golem.de


Förderung von E-Autos und Hybriden: Wie viel Geld bekomme ich für den Kauf eines Elektroautos?
Förderung von E-Autos und Hybriden
Wie viel Geld bekomme ich für den Kauf eines Elektroautos?

Ein E-Auto ist in der Anschaffung teurer als ein konventionelles. Käufer können aber Zuschüsse bekommen. Wir beantworten zehn wichtige Fragen dazu.
Von Werner Pluta

  1. Lordstown Chefs von Elektro-Truck-Firma nach Betrug zurückgetreten
  2. Elektromobilität Rennserie E1 zeigt elektrisches Schnellboot
  3. Elektromobilität Green-Vision gibt Akkus aus Elektroautos neuen Zweck

Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?

Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
Von Harald Büring


    Neues Apple TV 4K im Test: Teures Streaming-Gerät mit guter Fernbedienung
    Neues Apple TV 4K im Test
    Teures Streaming-Gerät mit guter Fernbedienung

    Beim neuen Apple TV 4K hat sich Apple eine ungewöhnliche Steuerung einfallen lassen, die aber im Alltag eher eine Spielerei ist.
    Ein Test von Ingo Pakalski

    1. Shareplay TVOS 15 soll gemeinsame Streaming-Erlebnisse schaffen
    2. Apple TV Farbkalibrierung per iPhone schneidet schlecht ab
    3. Sofasuche beendet Airtag-Hülle für Apple-TV-Fernbedienung