Представлены (http://www.php.net/archive/2013.php#id2013-12-12-1) корректирующие выпуски интерпретатора языка программирования PHP 5.5.7, 5.4.23 и 5.3.28 в которых устранено около 10 ошибок и устранена уязвимость (CVE-2013-6420) в модуле OpenSSL, которая может привести к повреждению областей памяти при обработке специально оформленных сертификатов X.509 в функции openssl_x509_parse(). Уязвимость отнесена (https://rhn.redhat.com/errata/RHSA-2013-1815.html) к категории критических проблем, так как может привести к выполнению кода на стороне сервера с привилегиями пользователя, под которым выполняется интерпретатор PHP.

Кроме того, в версии  5.3.28 устранена ещё одна уязвимость (CVE-2013-4073) в модуле OpenSSL, вызванная некорректной обработкой символов с нулевым кодом в поле subjectAltName SSL-сертификатов, что позволяет осуществить спуффинг.

URL: http://www.php.net/archive/2013.php#id2013-12-12-1
Новость: http://www.opennet.me/opennews/art.shtml?num=38657

• Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Аноним, 11:38 , 13-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Andrey Mitrofanov, 11:45 , 13-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Кирилл, 20:48 , 11-Янв-14
• Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Sylvia, 12:37 , 13-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,myhand, 18:11 , 13-Дек-13
• Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Аноним, 17:07 , 13-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Аноним, 18:55 , 13-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,AlexAT, 15:11 , 14-Дек-13
    • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,У новости должен быть источник, 19:03 , 14-Дек-13
      • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Sabakwaka, 13:33 , 15-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Sabakwaka, 13:33 , 15-Дек-13
• Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Аноним, 19:39 , 15-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Sylvia, 21:08 , 15-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,AlexAT, 21:17 , 15-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Денис, 06:45 , 16-Дек-13
• Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Sylvia, 07:25 , 17-Дек-13
  • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,бедный буратино, 14:54 , 17-Дек-13
    • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Sabakwaka, 15:26 , 17-Дек-13
      • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,бедный буратино, 16:01 , 17-Дек-13
        • Обновление PHP 5.5.7, 5.4.23 и 5.3.28 с устранением уязвимос...,Andrey Mitrofanov, 18:34 , 17-Дек-13

хоть раз была бы добрая новость «добавлены плюшки. было и так круто, а стало еще круче! и солнце засветилось ярче!», нет же «устранены вновь найденные критические уязвимости. но врата ада еще не закрыты»

> хоть раз была бы добрая новость «добавлены плюшки. было и так круто,
> а стало еще круче! и солнце засветилось ярче!»,

Дубина! Вот же:

21.06.2013 09:13  Релиз PHP 5.5.0
02.03.2012 09:42  Релиз PHP 5.4.0. Обзор новшеств
30.06.2009 16:58  Увидел свет релиз интерпретатора языка программирования PHP 5.3
03.11.2006 14:01  Вышел релиз PHP 5.2

> нет же «устранены

ахаха, охохо, смешно, ахаха.

-    php_error_docref(NULL TSRMLS_CC, E_WARNING, "extension author too lazy to parse %s correctly", timestr->data);
https://github.com/php/php-src/commit/c1224573c773b6845e8350...

лентяи такие лентяи....

s/lazy/stupid/

Что не выпуск, то сразу с "Устранением ряда уязвимостей."
А сколько новых ведет за собой этот релиз ?

Всяко меньше, чем релиз любого популярного браузера.
У того же Firefox в каждом релизе не меньше десятка закрывают, и все равно никак не перезакроют.

1) Чем крупнее софтина - тем больше в ней дырок.
2) Чем более массовой и открытой является софтина, тем больше дырок в ней находят.
Вывод) Количество дырок в массовой и не массовой софтине зависит только от масштаба софтины. В узком проприетарном софте сходного размера потенциальных дырок столько же, но они еще не обнаружены и не заткнуты.

1) Чем кашеобразнее софтина, тем больше в ней дырок.
2) Когда кривые руки варят популярную каше, травится дофига народа.
Вывод. Косорукий повар в популярном ресторане - бегите нафиг.

> 1) Чем кашеобразнее софтина, тем больше в ней дырок.
> 2) Когда кривые руки варят популярную каше, травится дофига народа.
> Вывод. Косорукий повар в популярном ресторане - бегите нафиг.

Бегите.
Чего вы тут толпитесь?
Бегите!

НЕ пользуйся.
Тебе что за дело?
За выходом новых ароматов тоже следишь?

Где брать фикс для PHP 5.2?

формально - нигде, продукт давно перешел за границы EOL и заниматься некромантией не стоит.

Неформально - у BSDунов - http://code.google.com/p/php52-backports/downloads/list?can=1
(свежих исправлений пока нет и неизвестно когда будут)

> Где брать фикс для PHP 5.2?

Зачем вам 5.2? В крайнем случае - 5.3, ничем не хуже. В 5.4 многое, конечно, совсем отломали, но по опыту - перенести кодовую базу не проблема. Если вы не хостер, конечно :)

Вот здесь я адаптировал для 5.2.17
http://centos.alt.ru/?p=962

вот только отрелизили и уже новая радость - integer overflow в ext/exif

мы своё призвание не забудем
смех и радость мы приносим людям!

Адын: сколько раз в уходящем году вы имели дело c данными exif?
Ыдва: берёте лес и гуляете лесом МИМО PHP. Вам то PHP мёдом намазано, штоле?

смех и радость

часто

> смех и радость
> часто

Радует ли тебя, что в твоём пайтоне целые переполнения и дос-атаки _не _фиксят?