tgoop.com/phpyh/486
Create:
Last Update:
Last Update:
Уязвимость в iconv() в GNU C Library
Новость про CVE-2024-2961 в привязке к PHP так раздули, что у многих сложилось впечатление, будто уязвимость в самом языке и масштаб последствий для пыхарей невероятно велик. Это не так. Уязвимость проявляется только при использовании функций и стрим-фильтров расширения iconv
с непровалидированными кодировками, полученными снаружи. Ну то есть надо прям вот такое иметь в коде, чтобы словить атаку:
iconv('utf-8', $_REQUEST['charset'], 'my_text');
Думаю, все понимают, что в современном коде это маловероятно.
Также не ждите патч-релиза со стороны PHP.
glibc
подключается динамически и не компилируется в исполняемый файл. Достаточно просто обновить glibc
.Подробнее в официальном ответе на сайте PHP: https://www.php.net/archive/2024.php#2024-04-24-1
BY Пых
Share with your friend now:
tgoop.com/phpyh/486