Добрый день!
В INDIGO используется PHP версии 5.4.45. которая имеет критическую уязвимость CVE-2011-3268 в функции crypt() - переполнение буфера.
Подскажите, эксплуатируема эта уязвимость в рамках эксплуатации INDIGO и если да, возможно ли использовать более современные версии PHP?
Спасибо.
1
PHP 5.4.45 в системе INDIGO
Автор Alex_99, 24 ноя 2025 12:05
Сообщений в теме: 2
#2
-
- Администраторы
-
- 1 464 сообщений
Менеджер проекта
Отправлено 24 Ноябрь 2025 - 14:10
Здравствуйте!
Спасибо за бдительность и вопрос по безопасности. Спешим вас успокоить - информация об уязвимости CVE-2011-3268 в нашей сборке неактуальна. Данная уязвимость (переполнение буфера в crypt) была исправлена разработчиками PHP еще в версии 5.3.7. В INDIGO используется версия 5.4.45 (последняя и наиболее стабильная в ветке 5.4), в которой этот патч уже давно применен. Соответственно, эксплуатация данной уязвимости в INDIGO невозможна.
Это уязвимость - старая проблема (из 2007 года), которая используется для хэширования паролей (в основном с устаревшим алгоритмом DES). Она связана с переполнением буфера - если передать слишком длинные или некорректные данные (например, соль длиной >512 байт), функция может выйти за границы буфера. В теории это может привести к отказу в обслуживании. Однако для эксплуатации нужны очень специфические условия - прямой вызов функции с контролируемым вводом, что не типично для большинства веб-приложений. Она требует прямого доступа к серверу.
Что касается обновления до новых версий PHP, то мы осознанно используем текущий стек технологий по важным архитектурным причинам:
1. Максимальная совместимость (Portability). Текущая версия позволяет INDIGO работать «из коробки» на широчайшем спектре систем (включая старые ОС и среды эмуляции типа Wine для Linux/macOS) без необходимости устанавливать в систему дополнительные компоненты Microsoft Visual C++ Redistributable (VC10/11/14+). Новые версии PHP требуют установки этих библиотек, что часто вызывает конфликты у пользователей и усложняет развертывание.
2. Стабильность. INDIGO - это сложный программный комплекс с большим количеством собственных библиотек и модулей, скомпилированных специально под данную архитектуру. Обновление ядра PHP и Apache потянет за собой полную пересборку всего стека зависимостей, что неизбежно приведет к потере совместимости и потенциальным сбоям в работе отлаженных годами функций.
В нашем случае риски нарушения стабильности работы системы при переходе на новую архитектуру PHP значительно превышают теоретические риски использования версии 5.4, особенно учитывая, что указанные Вами уязвимости в нашей версии отсутствуют.
Спасибо за бдительность и вопрос по безопасности. Спешим вас успокоить - информация об уязвимости CVE-2011-3268 в нашей сборке неактуальна. Данная уязвимость (переполнение буфера в crypt) была исправлена разработчиками PHP еще в версии 5.3.7. В INDIGO используется версия 5.4.45 (последняя и наиболее стабильная в ветке 5.4), в которой этот патч уже давно применен. Соответственно, эксплуатация данной уязвимости в INDIGO невозможна.
Это уязвимость - старая проблема (из 2007 года), которая используется для хэширования паролей (в основном с устаревшим алгоритмом DES). Она связана с переполнением буфера - если передать слишком длинные или некорректные данные (например, соль длиной >512 байт), функция может выйти за границы буфера. В теории это может привести к отказу в обслуживании. Однако для эксплуатации нужны очень специфические условия - прямой вызов функции с контролируемым вводом, что не типично для большинства веб-приложений. Она требует прямого доступа к серверу.
Что касается обновления до новых версий PHP, то мы осознанно используем текущий стек технологий по важным архитектурным причинам:
1. Максимальная совместимость (Portability). Текущая версия позволяет INDIGO работать «из коробки» на широчайшем спектре систем (включая старые ОС и среды эмуляции типа Wine для Linux/macOS) без необходимости устанавливать в систему дополнительные компоненты Microsoft Visual C++ Redistributable (VC10/11/14+). Новые версии PHP требуют установки этих библиотек, что часто вызывает конфликты у пользователей и усложняет развертывание.
2. Стабильность. INDIGO - это сложный программный комплекс с большим количеством собственных библиотек и модулей, скомпилированных специально под данную архитектуру. Обновление ядра PHP и Apache потянет за собой полную пересборку всего стека зависимостей, что неизбежно приведет к потере совместимости и потенциальным сбоям в работе отлаженных годами функций.
В нашем случае риски нарушения стабильности работы системы при переходе на новую архитектуру PHP значительно превышают теоретические риски использования версии 5.4, особенно учитывая, что указанные Вами уязвимости в нашей версии отсутствуют.
Ответить
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анононимных
