Цитата |
---|
Виктор Краснов пишет: Можете пояснить, почему сканер безопасности ругается вот так? Использование опасных/устаревших версий PHP может служить как источником многих атак на сам интерпретатор (например, RCE в 5.3.9) так и подспорьем для уязвимостей в коде проекта. К примеру, не правильная работа mbstring может привести к так называемой "Invalid Byte Sequence Attack" в абсолютно безобидном на первый взгляд коде, а отсутствие фильтрации null-byte в паттерне регулярных выражений к выполнению произвольного кода при малейшей неосторожности разработчика. Необходимо обновить php до последней стабильной версии (рекомендуется) или как минимум до версии не ниже 5.4.7 Только что обновил (не без глюков) окружение битрикс. Посмотрел - на сайте PHP Version 5.3.3 после обновления. Разве предполагается, что надо самому руками частично пакеты обновлять? Можно хотя бы в тестах эту штуку не выводить, если окружение еще не обновлено? И еще - обратите внимание, что после переустановки затирается директива push_stream_channels_path $1; В файле im_settings.conf она лежит. Это приводит к тому - что nginx не запускается. |
Вот что мне несколько дней назад ответили в подедержке Битрикса на этот вопрос:
"Для повышения безопасности нужна версия 5.4.7
Сканер работает правильно.
Версия php будет обновлена в следующем релизе виртуальной машины."