Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей


Рубрика: Новости Linux
Метки:
Просмотров: 2104

Представлен 0 релиз интерпретатора языка программирования PHP 5.3.4, а также PHP 5.2.15, устаревшей, но еще поддерживаемой ветки языка PHP. В версии 5.3.3 исправлено 7 проблем безопасности и более 170 ошибок, а в 5.2.14 - 7 проблем безопасности и 11 ошибок.

Из связанных с безопасностью исправлений в PHP 5.3.4 можно отметить:

* Устранен крах в модуле распаковки zip-архивов, вызванный отсутствием указания завершающего строку нулевого символа;

* Запрещено использовать в файловых путях нулевой символ (например, foo\0bar.txt);

* Устранена проблема в расширении imap, вызванная двойным освобождением одной области памяти, что потенциально может быть использовано для выполнения кода при обращении к imap-серверу злоумышленника;

* Исправлена ошибка, приводившая к разыменованию NULL-указателя в коде ZipArchive::getArchiveComment, что можно было использовать для вызова краха при обработке определенным образом оформленных ZIP-архивов;

* Устранена недоработка, позволяющая обойти ограничения open_basedir и получить доступ к внешним файлам;

* Исправлена уязвимость, связанная с некорректным форматированием строки в расширении phar и позволяющая получить доступ к областям памяти PHP-интерпретатора или выполнить свой код при обработке специальным образом оформленной ссылки "phar://";

* Устранены проблемы с символьным преобразованием для ФС DFS;

* Устранена ошибка, приводившая к переполнению стека при передаче большой порции данных (огромного email-адреса) в функцию filter_var при задании режима FILTER_VALIDATE_EMAIL.

Важные исправления, не связанные с безопасностью:

* Обновление поставляемых в комплекте библиотек SQLite3 3.7.3 и PCRE 8.10;

* В код работы с ZIP-архивами добавлена поддержка операции "stat";

* В обработчик http-потоков добавлена и включена по умолчанию опция follow_location (автоматическая загрузка документа, в случае наличия заголовка Location);

* В функцию get_html_translation_table добавлен дополнительный, третий, аргумент, позволяющий явно указать charset hint, такой как htmlentities;

* Добавлена поддержка константы ZEND_MULTIBYTE для определения наличия кода zend multibyte;

* Множественные улучшения FPM SAPI;

* Добавлены функции pcntl_get_last_error() и pcntl_strerror();

* В open_basedir добавлены дополнительные проверки на символьные ссылки;

* Добавлена поддержка дополнительных кодировок в mysqlnd.


  • Комментариев: 0

  • Вконтакте

  • Facebook:

    Оставьте комментарий!

    grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

    Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

    Имя и сайт используются только при регистрации

    Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

    Авторизация 

    MaxSiteAuth.

    (обязательно)