Вийшли PHP 5.3.9 та 5.3.10
22:48 03.02.2012У січні, 10.01.2012, вийшов PHP 5.3.9, а вже у лютому, 02.02.2012, вийшов PHP 5.3.10. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.
Після виходу версії 5.3.9 Стефан Ессер виявив, що в ній має місце remote code execution уразливість, причому вона знаходиться в коді виправлення DoS уразливості, який був доданий в цій версії. Тому вже на початку лютого розробники випустили нову версію для виправлення RCE дірки.
Cеред секюріті покращень та виправлень в PHP 5.3.9:
- Додана директива max_input_vars для запобігання атакам, що базуються на колізіях хеша.
- Виправлений баг #60150 (Integer overflow при парсингу некоректного exif заголовку).
Cеред секюріті виправлень в PHP 5.3.10
- Виправлена уразливість віддаленого виконання довільного коду.
Випускати чергову версію інтерпретатора, після чого виясняти, що в ній є уразливість і швидко випускати нову версія для її виправлення - це вже траплялося з PHP раніше, зокрема в версії PHP 5.3.7. Коли вже через п’ять днів після її випуску, розробники PHP випустили версію 5.3.8, для виправлення уразливості в функції crypt(). Ці випадки вкотре показують, що розробники PHP недостатньо слідкують за безпекою, недостатньо тестують нові версії перед їх випуском і не вчаться на власних помилках.
По матеріалам http://www.php.net.