Представлен релиз интерпретатора языка программирования PHP 5.3.9

Представлен ⁰ релиз интерпретатора языка программирования PHP 5.3.9 в коем устранено 2 уязвимости и исправлено около 90 ошибок, посреди которых устранение трудности со сборкой mysqlnd и многочисленные перемены в модуле FPM SAPI.

Из связанных с безопасностью исправлений в PHP 5.3.9 возможно подчеркнуть:

Добавлена директива max_input_vars, дающая возможность ограничить количество входящих параметров для поступающих HTTP-запросов и обходным путём защититься от DOS-атак, эксплуатирующих проблему с предсказуемыми коллизиями в реализации алгоритма хэширования. Сам алгоритм хэширования в ветке 5.3 не переменился и по прежнему содержит потенциальную проблему с безопасностью, которая может оказаться эксплуатирована иным путем (к примеру, ч/з загрузку файла, элементы которого применяются при работе приложения как ключи хэша). Нужная для полной защиты рандомизация поступающих ключей реализована лишь в экспериментальной ветке PHP 5.4.

Устранено целочисленное переполнение в коде разбора значений в заголовках EXIF, что могло быть использовано для чтения содержимого произвольных областей памяти ч/з передачу специально оформленных изображений в обработчик, использующий PHP-модуль exif;

Также, представлен 5-й кандидат в релизы PHP 5.4. Ч/з 2 нед. планируется выпустить ещё одну тестовую версию, затем на протяжении фев. будет сформирован финальный релиз. Обзор новшеств PHP 5.4 возможно прочесть в анонсе бета-версии.