Вышел PHP 5.3.3 - с внедренным PHP-FPM (спасибо Anight, Tony2001) за победу
Вышел PHP 5.3.3 - с внедренным PHP-FPM (спасибо Anight, Tony2001) за победу
Выпущены обновления поддерживаемых веток PHP - 5.3.3 и 5.2.14. В новых версиях проведена работа по устранению уязвимостей, найденных при проведении месяца безопасности PHP в мае. В версии 5.3.3 исправлено 18 проблем безопасности и более 100 ошибок, а в 5.2.14 - 16 проблем безопасности и 60 ошибок.
Кроме исправлений в релизе PHP 5.3.3 проведено одно изменение, нарушающее совместимость в рамках ветки PHP 5.3.x:
методы с тем же именем, что и текущий класс в NAMESPACE более не воспринимаются как конструкторы. Методов в классах без namespace это не коснулось.
Также произведено обновление входящих в комплект библиотек sqlite 3.6.23.1 и PCRE 8.02, добавлено SAPI для менеджера процессов FastCGI (FastCGI Process Manager), добавлен потоковый фильтр с поддержкой расширения mcrypt, в ext/filter добавлен фильтр full_special_chars, устранено несколько приводящих к краху и утечке памяти ошибок.
Исправленные в PHP 5.3.3 уязвимости:
* Переписана функция var_export() для использования smart_str вместо выходного буфера, с целью защиты от утечки закрытых данных в случае фатальной ошибки;
* В функции shm_put_var() исправлены проблемы, приводящие к разрушению ресурсов;
* Исправлена потенциальная утечка закрытых данных из-за прерывания работы оператора XOR;
* Исправлены уязвимости, связанные с выходом за допустимые границы областей памяти, проявляющиеся в функциях ArrayObject::uasort(), parse_str(), pack(), substr_replace(), addcslashes();
* Исправлено повреждение памяти при неожиданном изменении ссылки в момент вызова callback-метода;
* Устранена ошибка, приводящая к переполнению стека, при использовании функции fnmatch();
* В фильтре разбора chunked-запросов устранено переполнение буфера;
* В sqlite-расширении исправлена ошибка, позволяющая получить доступ к произвольным областям памяти;
* В расширении phar была некорректно организована проверка формата входных строковых параметров;
* Налажена обработка сериализации сессионных переменных, в случае использования в них определенных символов-префиксов;
* Устранено разыменование NULL-указателя при обработке некорректных запросов XML-RPC;
* Исправлена проблема с распаковкой сериализированных значений в SplObjectStorage;
* Исправлены переполнения буфера в mysqlnd_list_fields и mysqlnd_change_user;
* Исправлено переполнение буфера при обработке некорректных пакетов в mysqlnd.
Вышел PHP 5.3.3 - с внедренным PHP-FPM (спасибо Anight, Tony2001) за победу
Выпущены обновления поддерживаемых веток PHP - 5.3.3 и 5.2.14. В новых версиях проведена работа по устранению уязвимостей, найденных при проведении месяца безопасности PHP в мае. В версии 5.3.3 исправлено 18 проблем безопасности и более 100 ошибок, а в 5.2.14 - 16 проблем безопасности и 60 ошибок.
Кроме исправлений в релизе PHP 5.3.3 проведено одно изменение, нарушающее совместимость в рамках ветки PHP 5.3.x:
методы с тем же именем, что и текущий класс в NAMESPACE более не воспринимаются как конструкторы. Методов в классах без namespace это не коснулось.
PHP:
<?php
namespace Foo;
class Bar {
public function Bar() {
// treated as constructor in PHP 5.3.0-5.3.2
// treated as regular method in PHP 5.3.3
}
}
?>
Исправленные в PHP 5.3.3 уязвимости:
* Переписана функция var_export() для использования smart_str вместо выходного буфера, с целью защиты от утечки закрытых данных в случае фатальной ошибки;
* В функции shm_put_var() исправлены проблемы, приводящие к разрушению ресурсов;
* Исправлена потенциальная утечка закрытых данных из-за прерывания работы оператора XOR;
* Исправлены уязвимости, связанные с выходом за допустимые границы областей памяти, проявляющиеся в функциях ArrayObject::uasort(), parse_str(), pack(), substr_replace(), addcslashes();
* Исправлено повреждение памяти при неожиданном изменении ссылки в момент вызова callback-метода;
* Устранена ошибка, приводящая к переполнению стека, при использовании функции fnmatch();
* В фильтре разбора chunked-запросов устранено переполнение буфера;
* В sqlite-расширении исправлена ошибка, позволяющая получить доступ к произвольным областям памяти;
* В расширении phar была некорректно организована проверка формата входных строковых параметров;
* Налажена обработка сериализации сессионных переменных, в случае использования в них определенных символов-префиксов;
* Устранено разыменование NULL-указателя при обработке некорректных запросов XML-RPC;
* Исправлена проблема с распаковкой сериализированных значений в SplObjectStorage;
* Исправлены переполнения буфера в mysqlnd_list_fields и mysqlnd_change_user;
* Исправлено переполнение буфера при обработке некорректных пакетов в mysqlnd.