The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление PHP 5.3.3 и 5.2.14 с исправлением 18 уязвимостей

22.07.2010 21:56

Выпущены обновления поддерживаемых веток PHP - 5.3.3 и 5.2.14. В новых версиях проведена работа по устранению уязвимостей, найденных при проведении месяца безопасности PHP в мае. В версии 5.3.3 исправлено 18 проблем безопасности и более 100 ошибок, а в 5.2.14 - 16 проблем безопасности и 60 ошибок.

Кроме исправлений в релизе PHP 5.3.3 проведено одно изменение, нарушающее совместимость в рамках ветки PHP 5.3.x: методы с тем же именем, что и текущий класс в "namespace" более не воспринимаются как конструкторы. Методов в классах без "namespace" это не коснулось. Также произведено обновление входящих в комплект библиотек sqlite 3.6.23.1 и PCRE 8.02, добавлено SAPI для менеджера процессов FastCGI (FastCGI Process Manager), добавлен потоковый фильтр с поддержкой расширения mcrypt, в ext/filter добавлен фильтр full_special_chars, устранено несколько приводящих к краху и утечке памяти ошибок.

Исправленные в PHP 5.3.3 уязвимости:

  • Переписана функция var_export() для использования smart_str вместо выходного буфера, с целью защиты от утечки закрытых данных в случае фатальной ошибки;
  • В функции shm_put_var() исправлены проблемы, приводящие к разрушению ресурсов;
  • Исправлена потенциальная утечка закрытых данных из-за прерывания работы оператора XOR;
  • Исправлены уязвимости, связанные с выходом за допустимые границы областей памяти, проявляющиеся в функциях ArrayObject::uasort(), parse_str(), pack(), substr_replace(), addcslashes();
  • Исправлено повреждение памяти при неожиданном изменении ссылки в момент вызова callback-метода;
  • Устранена ошибка, приводящая к переполнению стека, при использовании функции fnmatch();
  • В фильтре разбора chunked-запросов устранено переполнение буфера;
  • В sqlite-расширении исправлена ошибка, позволяющая получить доступ к произвольным областям памяти;
  • В расширении phar была некорректно организована проверка формата входных строковых параметров;
  • Налажена обработка сериализации сессионных переменных, в случае использования в них определенных символов-префиксов;
  • Устранено разыменование NULL-указателя при обработке некорректных запросов XML-RPC;
  • Исправлена проблема с распаковкой сериализированных значений в SplObjectStorage;
  • Исправлены переполнения буфера в mysqlnd_list_fields и mysqlnd_change_user;
  • Исправлено переполнение буфера при обработке некорректных пакетов в mysqlnd.


  1. Главная ссылка к новости (http://www.php.net/archive/201...)
  2. OpenNews: Языку PHP исполнилось 15 лет
  3. OpenNews: Релиз PHP 5.3.2
  4. OpenNews: Релиз PHP 5.2.13
  5. OpenNews: В результате проведения Месяца безопасности PHP найдено 60 ошибок
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27390-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1.2, Doktor (??), 22:45, 22/07/2010 [ответить]  
  • +2 +/
    Отлично что добавили FPM SAPI, теперь можно использовать этот process manager вместе с nginx без дополнительных танцев с бубном.
     
     
  • 2.6, KOL (ok), 14:08, 23/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Только конфиги теперь с xml в ini переколбашивать..
     
     
  • 3.7, Doktor (??), 14:18, 23/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И слава богу, скажу я вам. Можно скрипт написать для автоматизации, да открыть его под GPL.
     

  • 1.4, Аноним (-), 10:32, 23/07/2010 [ответить]  
  • +/
    > методы с тем же именем, что и текущий класс более не воспринимаются как конструкторы

    О-па-ньки...

     
  • 1.5, pro100master (ok), 10:41, 23/07/2010 [ответить]  
  • +1 +/
    >PHP 5.3.x: методы с тем же именем, что и текущий класс более не воспринимаются как конструкторы

    поправка переводчику
    --------------------
    методы с тем же именем, что и текущий класс в NAMESPACE более не воспринимаются как конструкторы. Методов в классах без namespace это не коснулось.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру