"CVE-2018-5712" много раз встречается в журналах изменений PHP, что меня смущает.

Question

"CVE-2018-5712" много раз встречается в журналах изменений PHP, что меня смущает.

"CVE-2018-5712" много раз встречается в журналах изменений PHP, что меня смущает. Может кто-нибудь объяснить это явление? Спасибо.

7.2.5
7.2.1
7.1.17
7.1.13
7.0.30
7.0.27
5.6.36
5.6.33

https://www.php.net/ChangeLog-7.php

https://www.php.net/ChangeLog-5.php

Другой мой вопрос был кем-то закрыт. Поэтому я должен изменить этот вопрос, чтобы добавить его ниже.

Я не могу найти "CVE-2015-4603" в журналах изменений PHP.

Согласно https://www.cvedetails.com/cve/CVE-2015-4603/, я думаю, это было исправлено в PHP 5.6.8. Я прав? Почему в журнале изменений PHP не появляется строка "CVE-2015-4603"? Как насчет PHP 7.0, 7.1, 7.2, 7.3, 7.4? У них есть эта проблема? Заранее спасибо.

1

php cve

Источник

user227701 02 дек '19 в 11:03

1 ответ

Решение

Другие вопросы по тегам php cve

user4754037 02 дек '19 в 11:11 2019-12-02 11:11 · Accepted Answer · 2019-12-02 11:11

Это означает, что первая попытка исправить ошибку (CVE-2018-5712) не удалась, после первого исправления уязвимость безопасности все еще существует, и команда PHP должна исправить ее снова.

Например:

PHP 7.2.5

Phar:
    Fixed bug #76129 (fix for CVE-2018-5712 may not be complete). (CVE-2018-10547)

PHP 7.2.1

Phar:
    Fixed bug #74782 (Reflected XSS in .phar 404 page). (CVE-2018-5712)

Исправленные ошибки не влияют на более новые выпуски. PHP 7.4 является очень новым, поэтому на него не влияют CVE-2018-xxx или CVE-2015-xxx. Вообще говоря, если версия не упоминается в CVE, то CVE не влияет на нее.

Как только ошибка будет исправлена, она не повлияет на новые версии. Существуют модульные тесты, чтобы гарантировать, что в новых версиях можно максимально избежать исправленных ошибок. Если во время разработки произошла ошибка и исправленная ошибка появилась в более новых версиях, это называется "ошибкой регрессии", и ее необходимо исправить снова и внести в примечания к выпуску.