Вышел PHP 5.3.3 - с внедренным PHP-FPM (спасибо Anight, Tony2001) за победу :-)

confguru

ExAdmin
Команда форума
Вышел PHP 5.3.3 - с внедренным PHP-FPM (спасибо Anight, Tony2001) за победу :)

Вышел PHP 5.3.3 - с внедренным PHP-FPM (спасибо Anight, Tony2001) за победу :)

Выпущены обновления поддерживаемых веток PHP - 5.3.3 и 5.2.14. В новых версиях проведена работа по устранению уязвимостей, найденных при проведении месяца безопасности PHP в мае. В версии 5.3.3 исправлено 18 проблем безопасности и более 100 ошибок, а в 5.2.14 - 16 проблем безопасности и 60 ошибок.

Кроме исправлений в релизе PHP 5.3.3 проведено одно изменение, нарушающее совместимость в рамках ветки PHP 5.3.x:
методы с тем же именем, что и текущий класс в NAMESPACE более не воспринимаются как конструкторы. Методов в классах без namespace это не коснулось.

PHP:
<?php
namespace Foo;
class Bar {
    public function Bar() {
        // treated as constructor in PHP 5.3.0-5.3.2
        // treated as regular method in PHP 5.3.3
    }
}
?>
Также произведено обновление входящих в комплект библиотек sqlite 3.6.23.1 и PCRE 8.02, добавлено SAPI для менеджера процессов FastCGI (FastCGI Process Manager), добавлен потоковый фильтр с поддержкой расширения mcrypt, в ext/filter добавлен фильтр full_special_chars, устранено несколько приводящих к краху и утечке памяти ошибок.

Исправленные в PHP 5.3.3 уязвимости:

* Переписана функция var_export() для использования smart_str вместо выходного буфера, с целью защиты от утечки закрытых данных в случае фатальной ошибки;
* В функции shm_put_var() исправлены проблемы, приводящие к разрушению ресурсов;
* Исправлена потенциальная утечка закрытых данных из-за прерывания работы оператора XOR;
* Исправлены уязвимости, связанные с выходом за допустимые границы областей памяти, проявляющиеся в функциях ArrayObject::uasort(), parse_str(), pack(), substr_replace(), addcslashes();
* Исправлено повреждение памяти при неожиданном изменении ссылки в момент вызова callback-метода;
* Устранена ошибка, приводящая к переполнению стека, при использовании функции fnmatch();
* В фильтре разбора chunked-запросов устранено переполнение буфера;
* В sqlite-расширении исправлена ошибка, позволяющая получить доступ к произвольным областям памяти;
* В расширении phar была некорректно организована проверка формата входных строковых параметров;
* Налажена обработка сериализации сессионных переменных, в случае использования в них определенных символов-префиксов;
* Устранено разыменование NULL-указателя при обработке некорректных запросов XML-RPC;
* Исправлена проблема с распаковкой сериализированных значений в SplObjectStorage;
* Исправлены переполнения буфера в mysqlnd_list_fields и mysqlnd_change_user;
* Исправлено переполнение буфера при обработке некорректных пакетов в mysqlnd.
 

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
Блин, вот он мой геморрой, придется обновляться))
Два ноута, и VPS перенастроить( Предвещаю себе секас
 

dimagolov

Новичок
.des., проблема в том, что раньше в портах/репозитариях fpm не было и его получали разными самодельными патчами. теперь нужно чистить то, что встало оттуда и ставить взамен из портов/пакетов, возможно переносить конфиги и т.п.
 

.des.

Поставил пиво кому надо ;-)
dimagolov просто я не ставлю php (да и любой другой пакет) из исходников если в этом нет необходимости.
У меня используется spawn-fcgi и самописные скрипты, поэтому весь процесс обновления сводится к yum update и просто убрать неиспользуемое, да и к тому же никто не заставляет сразу же после обновления использовать php-fpm, можно продолжать работать с spawn-fcgi.
Да и зачем на девелоперской машине держать патченный php из исходниов? я вообще уже давно завел привычку держать несколько виртуальных образов и нужное мне окружение поднимается за считанные минуты.

уходим в оффтоп :)
 

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
Никакого пакетного менеджера я не использую для своих разработок. Только сорцы. Проапдейтил ноуты сегодня. Осталось центос на сервере на новую версию перетащить =р
 
Сверху