В новом релизе PHP 5.2.6 (http://www.php.net/releases/5_2_6.php) исправлено более 120 ошибок, среди которых несколько имеют отношение к безопасности:

-  Переполнение буфера в FastCGI SAPI;
-  Целочисленное переполнение в коде функции printf();
-  Проблема безопасности под номером CVE-2008-0599 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0599), подробности пока недоступны;
-  Возможность обхода ограничений  safe_mode через cURL
-  Ошибка при передаче некорректной символьной последовательности в функцию escapeshellcmd();
-  Уязвимость (http://www.opennet.me/opennews/art.shtml?num=12700) в библиотеке PCRE, в PHP 5.2.6 произведено обновление до версии PCRE 7.6.

Ключевые исправления в PHP 5.2.6:

-  Две ошибки приводящие к краху процесса в коде posix дополнения;
-  Переедание памяти при соединении строк при помощи "." вместо ".=";
-  Возможность вызова приватного конструктора родительского объекта из статической функции;
-  Зацикливание в bz2_filter.c;
-  ...

URL: http://www.php.net/releases/5_2_6.php
Новость: http://www.opennet.me/opennews/art.shtml?num=15671

• Вышел PHP 5.2.6 с исправлением уязвимостей,ufaweb, 23:20 , 02-Май-08
  • Вышел PHP 5.2.6 с исправлением уязвимостей,Xarn, 23:38 , 02-Май-08
    • Вышел PHP 5.2.6 с исправлением уязвимостей,ufaweb, 23:44 , 02-Май-08
    • Вышел PHP 5.2.6 с исправлением уязвимостей,Michael Shigorin, 11:03 , 03-Май-08
  • Вышел PHP 5.2.6 с исправлением уязвимостей,InkviZitor, 10:48 , 03-Май-08
• Вышел PHP 5.2.6 с исправлением уязвимостей,hardkiller, 12:45 , 03-Май-08
  • Вышел PHP 5.2.6 с исправлением уязвимостей,dmsuslov, 20:30 , 03-Май-08
    • Вышел PHP 5.2.6 с исправлением уязвимостей,Dvorkin, 21:51 , 03-Май-08
      • Вышел PHP 5.2.6 с исправлением уязвимостей,nuclight, 14:27 , 05-Май-08
  • Вышел PHP 5.2.6 с исправлением уязвимостей,AmdY, 06:22 , 04-Май-08
    • Вышел PHP 5.2.6 с исправлением уязвимостей,WhiteWind, 10:25 , 04-Май-08
      • Вышел PHP 5.2.6 с исправлением уязвимостей,AmdY, 10:31 , 04-Май-08
• Вышел PHP 5.2.6 с исправлением уязвимостей,Аноним, 19:56 , 03-Май-08
• Вышел PHP 5.2.6 с исправлением уязвимостей,Злостный, 17:13 , 04-Май-08

Вот решето, слов нету, сколько обновлении не выходит, критические ошибки всё находят и находят, уже не знаешь какой веб-серверу тюнинг дать, чтобы юзерские сайты пхпшные никому навредить не могли(

Использовать виртуализацию?
И вешать всю ответственность за проблемы на кривые руки клиентов.
И предлагать за разумные деньги это исправить.

пока проблема решает разделением прав и квотировнием жеского диска (софт: nginx+fastcgi(php-fpm)).

И ещё mod_security сверху, если бэкендом apache.  Не панацея, но малость помогает.

Критические ошибки есть в любом софте, главное как оперативно их находят и решают.

ггг))) сколько пхп не латай,
а перл все равно лучше )))))

Был бы лучше, если бы не его крипто-синтаксис...

в нем ничего не находят только потому что он никому не нужен :)

http://www.opennet.me/opennews/art.shtml?num=15565 свидетельствует об обратном. Такие крупные системы, как LiveJournal и Slashdot, к примеру, написаны на Perl.

Смешно даже, по товоему посту видно что слово perl ты просто слышал где-то, иначе бы догодался что в данном контексте про него лучше бы было промолчать.
PCRE - как ты думаешь что это? В посте даже сслыка есть http://www.opennet.me/opennews/art.shtml?num=12700

Для создания стандарта регулярных выражений не стоило писать целый язык программирования с синтаксисом в стиле регулярных выражений.

>Для создания стандарта регулярных выражений не стоило писать целый язык программирования с
>синтаксисом в стиле регулярных выражений.

если языком пользуется хотя бы один человек, значит он создан не зря.

собрался + php-fpm, обновился, полет пока нормальный.

Да помню, как-то ещё на 4.7(кажется) был у меня веселенький глюк, два часа искал ошибку в скрипте, пока не допёр что пыхпыху комент не нравится, ставил строкой выше или ниже - работало, ставил обратно - не работало.