Вийшли PHP 5.3.7 та 5.3.8
22:46 19.09.2011У серпні, 18.08.2011, вийшов PHP 5.3.7, а вже через п’ять днів, 23.08.2011, вийшов PHP 5.3.8. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.
Після виходу версії 5.3.7 вияснилося, що в ній має місце уразливість - в функції crypt(). Тому розробники опублікували на сайті офіційне застереження з цього приводу і вже за добу випустили нову версію, в якій зокрема виправили дану уразливість.
Cеред секюріті покращень та виправлень в PHP 5.3.7:
- Оновлений crypt_blowfish до 1.2.
- Виправлений збій в error_log().
- Виправлений buffer overflow при довгій солі в crypt().
- Виправлений баг #54939 (File path injection уразливість в RFC1867 імені файла для завантаження).
- Виправлений stack buffer overflow в socket_connect().
- Виправлений баг #54238 (use-after-free в substr_replace()).
- Оновлений Sqlite3 до версії 3.7.7.1.
- Оновлений PCRE до версії 8.12.
- Виправлено 20 різних вибивань.
Cеред секюріті покращень та виправлень в PHP 5.3.8:
- Виправлений баг #55439 (crypt() повертав лише сіль для MD5).
- Відмінена зміна в обробці таймаутів, для відновлення поведінки PHP 5.3.6, яка призводила до того, що mysqlnd SSL з’єднання підвисали (баг #55283).
По матеріалам http://www.php.net.