Re: Ajuda

To: debian-user-portuguese@lists.debian.org
Subject: Re: Ajuda
From: Fred Maranhão <fred_maranhao@yahoo.com.br>
Date: Thu, 4 Nov 2004 21:47:11 -0300 (ART)
Message-id: <[🔎] 20041105004711.49281.qmail@web54010.mail.yahoo.com>
In-reply-to: <[🔎] 1051.200.145.86.31.1099599646.squirrel@helio.iq.unesp.br>
 --- rodrigo@iq.unesp.br escreveu: 
> Oi pessoal,
> 
> Preciso de uma ajuda, todos os nossos servidores
> rodando  Debian e tudo
> instalado via apt-get, so que agora temos um
> problema em relacao ao php4
> instalado aqui.

Debian stable, eu suponho.

>Eh que uma empresa esta dizendo que
> esta versao esta cheia de bugs, com
> poucas funcionalidades, abaixo o texto que a pessoa
> nos enviou.
> "A versão do PHP instalada no servidor de vocês, a
> 4.1.2,

realmente. É a versão do php4 da stable

> é uma versão com
> >um histórico de bugs (erros de código) e
> vulnerabilidade muito extensa.
> >Publicados pela própria empresa que desenvolve o
> PHP, a Zend
> >Technologies (http://www.zend.com)
> >
bom. é o seguinte. Um processo de desenvolvimento
organizado mantém mais de uma versão do software.
Normalmente duas. Uma estável e outra de
desenvolvimento.

Na versão de desenvolvimento é onde se colocam novas
funcionalidades. E estas novas funcionalidades trazem
novos bugs com ela. quando o fornecedor do software,
ao encontrar um bug na versão de desenvolvimento,
verifica se ele também existe na versão estável, e o
corrige, beleza. quando o fornecedor dá muita atenção
à versão de desenvolvimento e larga a versão estável
de lado, quem faz isto é o próprio projeto debian. Mas
como é muito trabalho, isto só é feito na stable. Por
isto que tem gente que acha a testing a pior das
versões do debian, a stable, o projeto debian cuida. A
unstable os fornecedores cuidam.

> >O PHP 4.1.2 foi lançado em maio de 2002, utilizando
> o Zend Engine 1.1.1
> >(o qual atualmente está no 2.0).

Grandes bostas. Como se número de versão fosse
sinônimo de segurança e estabilidade.

> E essa versão do
> Zend Engine, além de
> >ser lenta,

Quanto a isto não tenho como argumentar. Lentitão não
é bug de segurança.

> contém muitos erros estruturais
> documentados.

Erros estruturais idem.

> >Esta versão do PHP permite que alguma pessoa mal
> intencionada provoque
> >até mesmo um desligamento inesperado do servidor.
> As vulnerabilidades
> >presentes em versões antigas do PHP são muito
> críticas.

Ele poderia mandar o número do relatório de bug??? E o
site onde ele está documentado? Assim fica difícil.
parece aqueles boatos de e-mail.

> >
> >Uma das vulnerabilidades presentes no PHP, que foi
> corrigida nas versões
> >acima de 4.3.x é a seguinte:

Bem. O fornecedor pode ter corrigido na 4.3.x, mas se
o bug existe na 4.1 (da stable) a equipe debian deve
ter consertado. Se quiser futucar, vá em
packages.debian.org, busque por php4 na stable. você
deve ir para esta página:
http://packages.debian.org/stable/web/php4

procure o link developer information for php4. A
partir daí você deve seguir sozinho. Não posso te
ajudar muito.

> >Um usuário mal intencionado pode realizar o upload
> de um código
> >infeccioso, como um exploit para linux.
> >Este código vai ser enviado normalmente para o
> servidor...
> >E quando o php fosse acessar o arquivo, o mesmo
> pode acessar todo o
> >sistema do servidor, enviando informações
> importantes para fora do
> >servidor, ou até mesmo criando uma conta de acesso
> root para o usuário.
> >Nas versões mais atuais do sistema isso foi
> corrigido simplesmente
> >isolando o processo dos arquivos abertos pelo php
> do sistema. Assim se o
> >usuário enviar um código infeccioso ele não terá
> acesso ao resto do
> >sistema, apenas ao PHP, em uma espécie de Jail
> Root.
> >
> >Eu poderia citar muitas outras vulnerabilidades
> presentes na versão que
> >está instalada no servidor da unesp, mas isto não
> vem ao caso neste
> >momento.
> >
Mas quando vier, peça o link para o bugreport.
facilita a vida

> >Outra informação que não procede, é o fato de
> utilizar o apt-get para se
> >instalar uma versão "estável" do PHP.
> >O apt-get instala uma versão pré-compilada como um
> arquivo ".exe" no
> >windows.

Ihhh. Parece que o cara achou que a estabilidade vinha
do fato de ser pré-compilada...

> >A qual é compilada para funcionar em todos os
> sistemas linux,
> >independente da plataforma, sistema, e isso causa
> certa lentidão no
> >aplicativo (não apenas para o PHP).

Acho que não. É compilada para debian. E quem compila
é o desenvolvedor debian responsável pelo pacote. Numa
puta sorte pode até funcionar em outro linux. Mas
seria uma coincidência.

> >Utilizando uma distribuição em código fonte, e
> compilando no próprio
> >sistema em que ele vai funcionar, proporciona uma
> otimização do código

Concordo. Sem falar em números tá tudo beleza.

> >para a máquina em si. O que o torna até 300% mais
> rápido e eficaz.

EPA!!! Agora começou a falar em números. de onde ele
tirou este 300%. Mas não vou nem discutir muito,
afinal debian tem opção de compilar in loco. Você que
sabe.

> A
> >única dificuldade em utilizar este tipo de
> distribuição, é a
> >complexidade que envolve. Pois exige um
> conhecimento mais profundo de
> >sistemas Posix, e conhecimento das bibliotecas
> dependentes dos próprios
> >aplicativos que são instalados.

man apt-get. Se não me engano opção -b. sinto não
poder ser mais preciso aqui, mas o meu velox está
fazendo greve de linux.

Bom. Se não for a opção -b, procure por compilar, ou
algo do genero.

> Mas isso não
> significa que o sistema
> >ficaria desatualizado, muito pelo contrário, o
> sistema ficaria
> >otimizado,

"muito pelo contrário"??? Se com isto ele está
querendo dizer que o contrário de desatulaizado é
otimizado? Ficou estranho... Pergunte se ele acha
realmente isto. Tá estranho...

> com uma velocidade muito maior, e com um
> controle mais
> >profundo sobre todas as bibliotecas instaladas no
> sistema.

Que bom. então baixa os fontes e compila in loco. Acho
que no apt-howto ensina a fazer. É meio grandinho mas
é bem escrito (minha opinião).

> >"
> 
> Eu estou errado em instalar via apt?

Não. Acho que seu maior erro é não conhecer
profundamente o apt.

> Este pacote tem estes bugs mesmos?

Sei lá... descubra você na página do php4 do
packages.debian.org

E se for o caso, tente invadir a máquina usando o bug
que o seu fornecedor diz que existe.

    Paro por aqui, Fred


	
	
		
_______________________________________________________ 
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com/
Reply to:
References:
- Ajuda
  - From: <rodrigo@iq.unesp.br>
Prev by Date: Edição Zero do Debian Zine
Next by Date: Re: Ajuda - woody, php bugs, etc
Previous by thread: Ajuda
Next by thread: Re: Ajuda - woody, php bugs, etc
Index(es):
- Date
- Thread