--- [EMAIL PROTECTED] escreveu: > Oi pessoal, > > Preciso de uma ajuda, todos os nossos servidores > rodando Debian e tudo > instalado via apt-get, so que agora temos um > problema em relacao ao php4 > instalado aqui.
Debian stable, eu suponho. >Eh que uma empresa esta dizendo que > esta versao esta cheia de bugs, com > poucas funcionalidades, abaixo o texto que a pessoa > nos enviou. > "A versão do PHP instalada no servidor de vocês, a > 4.1.2, realmente. É a versão do php4 da stable > é uma versão com > >um histórico de bugs (erros de código) e > vulnerabilidade muito extensa. > >Publicados pela própria empresa que desenvolve o > PHP, a Zend > >Technologies (http://www.zend.com) > > bom. é o seguinte. Um processo de desenvolvimento organizado mantém mais de uma versão do software. Normalmente duas. Uma estável e outra de desenvolvimento. Na versão de desenvolvimento é onde se colocam novas funcionalidades. E estas novas funcionalidades trazem novos bugs com ela. quando o fornecedor do software, ao encontrar um bug na versão de desenvolvimento, verifica se ele também existe na versão estável, e o corrige, beleza. quando o fornecedor dá muita atenção à versão de desenvolvimento e larga a versão estável de lado, quem faz isto é o próprio projeto debian. Mas como é muito trabalho, isto só é feito na stable. Por isto que tem gente que acha a testing a pior das versões do debian, a stable, o projeto debian cuida. A unstable os fornecedores cuidam. > >O PHP 4.1.2 foi lançado em maio de 2002, utilizando > o Zend Engine 1.1.1 > >(o qual atualmente está no 2.0). Grandes bostas. Como se número de versão fosse sinônimo de segurança e estabilidade. > E essa versão do > Zend Engine, além de > >ser lenta, Quanto a isto não tenho como argumentar. Lentitão não é bug de segurança. > contém muitos erros estruturais > documentados. Erros estruturais idem. > >Esta versão do PHP permite que alguma pessoa mal > intencionada provoque > >até mesmo um desligamento inesperado do servidor. > As vulnerabilidades > >presentes em versões antigas do PHP são muito > críticas. Ele poderia mandar o número do relatório de bug??? E o site onde ele está documentado? Assim fica difícil. parece aqueles boatos de e-mail. > > > >Uma das vulnerabilidades presentes no PHP, que foi > corrigida nas versões > >acima de 4.3.x é a seguinte: Bem. O fornecedor pode ter corrigido na 4.3.x, mas se o bug existe na 4.1 (da stable) a equipe debian deve ter consertado. Se quiser futucar, vá em packages.debian.org, busque por php4 na stable. você deve ir para esta página: http://packages.debian.org/stable/web/php4 procure o link developer information for php4. A partir daí você deve seguir sozinho. Não posso te ajudar muito. > >Um usuário mal intencionado pode realizar o upload > de um código > >infeccioso, como um exploit para linux. > >Este código vai ser enviado normalmente para o > servidor... > >E quando o php fosse acessar o arquivo, o mesmo > pode acessar todo o > >sistema do servidor, enviando informações > importantes para fora do > >servidor, ou até mesmo criando uma conta de acesso > root para o usuário. > >Nas versões mais atuais do sistema isso foi > corrigido simplesmente > >isolando o processo dos arquivos abertos pelo php > do sistema. Assim se o > >usuário enviar um código infeccioso ele não terá > acesso ao resto do > >sistema, apenas ao PHP, em uma espécie de Jail > Root. > > > >Eu poderia citar muitas outras vulnerabilidades > presentes na versão que > >está instalada no servidor da unesp, mas isto não > vem ao caso neste > >momento. > > Mas quando vier, peça o link para o bugreport. facilita a vida > >Outra informação que não procede, é o fato de > utilizar o apt-get para se > >instalar uma versão "estável" do PHP. > >O apt-get instala uma versão pré-compilada como um > arquivo ".exe" no > >windows. Ihhh. Parece que o cara achou que a estabilidade vinha do fato de ser pré-compilada... > >A qual é compilada para funcionar em todos os > sistemas linux, > >independente da plataforma, sistema, e isso causa > certa lentidão no > >aplicativo (não apenas para o PHP). Acho que não. É compilada para debian. E quem compila é o desenvolvedor debian responsável pelo pacote. Numa puta sorte pode até funcionar em outro linux. Mas seria uma coincidência. > >Utilizando uma distribuição em código fonte, e > compilando no próprio > >sistema em que ele vai funcionar, proporciona uma > otimização do código Concordo. Sem falar em números tá tudo beleza. > >para a máquina em si. O que o torna até 300% mais > rápido e eficaz. EPA!!! Agora começou a falar em números. de onde ele tirou este 300%. Mas não vou nem discutir muito, afinal debian tem opção de compilar in loco. Você que sabe. > A > >única dificuldade em utilizar este tipo de > distribuição, é a > >complexidade que envolve. Pois exige um > conhecimento mais profundo de > >sistemas Posix, e conhecimento das bibliotecas > dependentes dos próprios > >aplicativos que são instalados. man apt-get. Se não me engano opção -b. sinto não poder ser mais preciso aqui, mas o meu velox está fazendo greve de linux. Bom. Se não for a opção -b, procure por compilar, ou algo do genero. > Mas isso não > significa que o sistema > >ficaria desatualizado, muito pelo contrário, o > sistema ficaria > >otimizado, "muito pelo contrário"??? Se com isto ele está querendo dizer que o contrário de desatulaizado é otimizado? Ficou estranho... Pergunte se ele acha realmente isto. Tá estranho... > com uma velocidade muito maior, e com um > controle mais > >profundo sobre todas as bibliotecas instaladas no > sistema. Que bom. então baixa os fontes e compila in loco. Acho que no apt-howto ensina a fazer. É meio grandinho mas é bem escrito (minha opinião). > >" > > Eu estou errado em instalar via apt? Não. Acho que seu maior erro é não conhecer profundamente o apt. > Este pacote tem estes bugs mesmos? Sei lá... descubra você na página do php4 do packages.debian.org E se for o caso, tente invadir a máquina usando o bug que o seu fornecedor diz que existe. Paro por aqui, Fred _______________________________________________________ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com/
