Представлены внеплановые обновления PHP 5.4.3 и 5.3.13, в которых устранена уязвимость в реализации работы PHP в режиме CGI, позволяющая передать интерпретатору произвольные опции командной строки, что может быть использовано для организации выполнения кода злоумышленника.
Кроме того, в версии PHP 5.4.3 устранено переполнение буфера в функции apache_request_headers(), которое может привести к осуществлению атаки на использующие данную функцию приложения через передачу специально скомпонованных HTTP-заголовков. Ветка PHP 5.3 не подвержена данной уязвимости.
|