Вышел PHP 5.3.4 и 5.2.15 (исправлено 7 уязвимостей)

confguru

ExAdmin
Команда форума
http://www.php.net/archive/2010.php#id2010-12-10-1Вышел PHP 5.3.4, а также PHP 5.2.15, устаревшей, но еще поддерживаемой ветки языка PHP. В версии 5.3.3 исправлено 7 проблем безопасности и более 170 ошибок, а в 5.2.14 - 7 проблем безопасности и 11 ошибок.
Из связанных с безопасностью исправлений в PHP 5.3.4 можно отметить:
  • Устранен крах в модуле распаковки zip-архивов, вызванный отсутствием указания завершающего строку нулевого символа;
  • Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt);
  • Устранена проблема в расширении imap, вызванная двойным освобождением одной области памяти, что потенциально может быть использовано для выполнения кода при обращении к imap-серверу злоумышленника;
  • Исправлена ошибка, приводившая к разыменованию NULL-указателя в коде ZipArchive::getArchiveComment, что можно было использовать для вызова краха при обработке определенным образом оформленных ZIP-архивов;
  • Устранена недоработка, позволяющая обойти ограничения open_basedir и получить доступ к внешним файлам;
  • Исправлена уязвимость, связанная с некорректным форматированием строки в расширении phar и позволяющая получить доступ к областям памяти PHP-интерпретатора или выполнить свой код при обработке специальным образом оформленной ссылки "phar://";
  • Устранены проблемы с символьным преобразованием для ФС DFS;
  • Устранена ошибка, приводившая к переполнению стека при передаче большой порции данных (огромного email-адреса) в функцию filter_var при задании режима FILTER_VALIDATE_EMAIL.
Важные исправления, не связанные с безопасностью:
  • Обновление поставляемых в комплекте библиотек SQLite3 3.7.3 и PCRE 8.10;
  • В код работы с ZIP-архивами добавлена поддержка операции "stat";
  • В обработчик http-потоков добавлена и включена по умолчанию опция follow_location (автоматическая загрузка документа, в случае наличия заголовка Location);
  • В функцию get_html_translation_table добавлен дополнительный, третий, аргумент, позволяющий явно указать charset hint, такой как htmlentities;
  • Добавлена поддержка константы ZEND_MULTIBYTE для определения наличия кода zend multibyte;
  • Множественные улучшения FPM SAPI;
  • Добавлены функции pcntl_get_last_error() и pcntl_strerror();
  • В open_basedir добавлены дополнительные проверки на символьные ссылки;
  • Добавлена поддержка дополнительных кодировок в mysqlnd.

http://www.php.net/archive/2010.php#id2010-12-10-1
 

Ragazzo

TDD interested
Такое в каждом релизе, уже смешно даже становится
>>Устранена недоработка, позволяющая обойти ограничения open_basedir и получить доступ к внешним файлам;
 

AmdY

Пью пиво
Команда форума
стоит отметить, что 5.2.15 планируется как последняя в ветке 5.2.x
 

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
Хм, что же, скоро придется пересобирать свой сервачок)
 
Сверху