Команда разработчиков PHP объявила о выпуске новых релизов: PHP 5.1.2 и PHP 4.4.5. Данные релизы PHP решают важные проблемы безопасности, актуальные для веток PHP 5.x.x и 4.4.x.
Ключевые изменения в релизе PHP 5.1.2
В PHP 5.2.1 решены следующие проблемы безопасности:
- Устранены ошибки обхода в режиме safe_mode & open_basedir внутри расширений сессий;
- Запрещение индексации страниц с использованием функции phpinfo();
- Исправлены ошибки во входном обработчике ошибок внутри расширения filter;
- Исправлены ошибки в функции unserialize() на 64 -битных системах;
- Исправлены причины возможных ошибок переполнения и опустошения стека в расширении session;
- Исправлены ошибки функции sapi_header_op();
- Исправлены ошибки распределения, вызванные попытками ассигновать отрицательные числа в некоторых путях кода;
- Исправлены причины возможных ошибок переполнения внутри расширений zip, imap & sqlite;
- Исправлены некоторые причины ошибок переполнения внутри потоковых фильтров;
- Устранено возможное неутвержденное разрушение ресурса внутри расширения shmop;
- Исправлены некоторые причины ошибок переполнения в функции str_replace();
- Исправлено возможное нарушение суперглобальных переменных в некоторых кодах;
- Исправлено возможное негативное информационное раскрытие функции wddx;
- Исправлена уязвимость форматирования в функциях *print() на 64 - битных системах;
- Исправлены некоторые причины ошибок переполнения в функциях mail() и ibase_{delete,add,modify}_user();
- Исправлено возможное негативное информационное раскрытие функции odbc_result_all();
- Ограничение памяти (memory limit) теперь включена по умолчанию;
- Добавленная внутренняя защита heap;
- Расширение возможностей фильтра для $_SERVER в CGI и apache2 SAPIs.
Большая часть уязвимостей безопасности, обнаруженных и решенных, могли позволить злоупотребления от имени локальных пользователей, но это неактуально для удаленного вредительства. Однако, некоторые из вышеупомянутых проблем могут быть использованы удаленно в определенных ситуациях, или эксплуатироваться злонамеренными локальными пользователями на виртуальном хостинге, использующих PHP как модуль Apache. Поэтому, мы настоятельно рекомендуем всем пользователям PHP, независимо от версии, обновить Ваш PHP до версии PHP 5.2.1 как можно скорее. В PHP 4.4.5 устранены эквивалентные проблемы безопасности.
Ключевые изменения в PHP 5.2.1 также включают:
- Некоторое увеличение производительности движка PHP, API потоков и специфические методы оптимизации работы движка для Windows;
- PDO_MySQL теперь использует буфферизированные запросы по умолчанию и эмулирует определения для обхода ограничений API MySQL;
- Множество улучшений в расширениях filter и zip;
- Ограничение памяти (memory limit) сейчас всегда включены, это относится к сборкам PHP для Windows, ограничение используемой памяти по умолчанию - 128 мегабайт;
- Добавлены некоторые оптимизационные решения по использованию быстрого Win32 API (это изменение не позволяет больше использовать PHP в Windows 98);
- Оптимизирована скорость работы FastCGI PHP для Windows;
- Более 180 исправленных ошибок.
Более подробную информацию о релизе PHP 5.2.1 Вы можете получить по следующей ссылке:
http://www.php.net/ChangeLog-5.php#5.2.1
Ключевые изменения в релизе PHP 4.4.5
В PHP 5.2.1 решены следующие проблемы безопасности:
- Устранены ошибки обхода в режиме safe_mode & open_basedir внутри расширений сессий;
- Устранена уязвимость функции unserialize() на 64-битных системах;
- Исправлены причины возможных ошибок переполнения и опустошения стека в расширении session;
- Исправлены ошибки переполнения в функции sapi_header_op();
- Исправлены причины возможных ошибок переполнения внутри расширений zip и imap;
- Устранено возможное неутвержденное разрушение ресурса внутри расширения shmop;
- Исправлены некоторые причины ошибок переполнения в функции str_replace();
- Исправлено возможное нарушение суперглобальных переменных в некоторых кодах;
- Исправлено возможное негативное информационное раскрытие функции wddx;
- Исправлена уязвимость форматирования в функциях *print() на 64 - битных системах;
- Исправлены некоторые причины ошибок переполнения буфера в функциях mail() и ibase_{delete,add,modify}_user();
- Исправлено возможное негативное информационное раскрытие функции odbc_result_all().
В дополнение к исправлению проблем безопасности, этот релиз включает также исправление некоторых незначительных ошибок, не связанных с безопасностью.
Более подробную информацию о релизе PHP 4.4.5 Вы можете получить по следующей ссылке:
http://www.php.net/ChangeLog-4.php#4.4.5
Скачать новые релизы можно через нашу страницу загрузок. |