Представлен (http://www.php.net/archive/2012.php#id2012-01-11-1) релиз интерпретатора языка программирования PHP 5.3.9 в котором устранено 2 уязвимости и исправлено (http://www.php.net/ChangeLog-5.php#5.3.9) около 90 ошибок, среди которых устранение проблемы со сборкой mysqlnd и многочисленные изменения в модуле FPM SAPI.

Из связанных с безопасностью исправлений в PHP 5.3.9 можно отметить:

-  Добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов и обходным путём защититься  от DoS-атак, эксплуатирующих проблему (http://www.opennet.me/opennews/art.shtml?num=32698) с предсказуемыми коллизиями в реализации алгоритма хэширования. Сам алгоритм хэширования в ветке 5.3 не изменился и по прежнему содержит потенциальную проблему с безопасностью, которая может быть эксплуатирована другим путем (например, через загрузку файла, элементы которого используются при работе приложения как ключи хэша). Необходимая для полной защиты ра...

URL: http://www.php.net/archive/2012.php#id2012-01-11-1
Новость: http://www.opennet.me/opennews/art.shtml?num=32775

• Релиз PHP 5.3.9,Аноним, 11:25 , 11-Янв-12
• Релиз PHP 5.3.9,Аноним, 17:58 , 11-Янв-12
  • Релиз PHP 5.3.9,Денис, 05:53 , 13-Янв-12
• Релиз PHP 5.3.9,Sw00p aka Jerom, 19:07 , 11-Янв-12
  • Релиз PHP 5.3.9,cvsup1, 00:09 , 12-Янв-12

>Добавлена директива max_input_vars

Это уже было в Suhosin

Для 5.2 версии обновления безопасности то выпустят ?

Патчи для 5.2.17 из srpms можно взять

http://centos.alt.ru/?p=660
http://centos.alt.ru/?p=656

особенно радует следуюшие баги

Fixed bug #55510: $_FILES 'name' missing first character after upload.
Fixed bug #52624 (tempnam() by-pass open_basedir with nonnexistent directory).
Fixed bug #55582 (mysqli_num_rows() returns always 0 for unbuffered, when mysqlnd is used).
Fixed bug #55703 (PHP crash when calling mysqli_fetch_fields).

Да-да, я перестал читать после "многочисленные изменения в модуле FPM SAPI."
каламбур