Securi-toile

Vous êtez sur : Blog

Actualités

Réseaux

Release PHP 5.3.3 et 5.2.14

Jeudi, 22 Juillet 2010 00:00 Eric Seguinard Actualités - Release

note_php

L'équipe de développement de PHP a annoncé le 22 juillet la sortie de PHP 5.3.3. Cette nouvelle version corrige, améliore la stabilité de la branche 5.3.x avec de nombreuses corrections de bugs et sécurité. La mise à jour est donc fortement conseillée d'autant qu'elle apporte aussi quelques nouvelles fonctionnalités dont voici la liste des principales améliorations et plus de 100 corrections de bogues, dont certains sont liés à la sécurité. Tous les utilisateurs sont encouragés à passer à cette version.

Backwards incompatible change:

Methods with the same name as the last element of a namespaced class name will no longer be treated as constructor. This change doesn't affect non-namespaced classes.
<?php namespace Foo; class Bar { public function Bar() { // treated as constructor in PHP 5.3.0-5.3.2 // treated as regular method in PHP 5.3.3 } } ?>

There is no impact on migration from 5.2.x because namespaces were only introduced in PHP 5.3.

Rewrote var_export() to use smart_str rather than output buffering, prevents data disclosure if a fatal error occurs (CVE-2010-2531).
Fixed a possible resource destruction issues in shm_put_var().
Fixed a possible information leak because of interruption of XOR operator.
Fixed a possible memory corruption because of unexpected call-time pass by refernce and following memory clobbering through callbacks.
Fixed a possible memory corruption in ArrayObject::uasort().
Fixed a possible memory corruption in parse_str().
Fixed a possible memory corruption in pack().
Fixed a possible memory corruption in substr_replace().
Fixed a possible memory corruption in addcslashes().
Fixed a possible stack exhaustion inside fnmatch().
Fixed a possible dechunking filter buffer overflow.
Fixed a possible arbitrary memory access inside sqlite extension.
Fixed string format validation inside phar extension.
Fixed handling of session variable serialization on certain prefix characters.
Fixed a NULL pointer dereference when processing invalid XML-RPC requests (Fixes CVE-2010-0397, bug #51288).
Fixed SplObjectStorage unserialization problems (CVE-2010-2225).
Fixed possible buffer overflows in mysqlnd_list_fields, mysqlnd_change_user.
Fixed possible buffer overflows when handling error packets in mysqlnd.

Key enhancements in PHP 5.3.3 include:

Upgraded bundled sqlite to version 3.6.23.1.
Upgraded bundled PCRE to version 8.02.
Added FastCGI Process Manager (FPM) SAPI.
Added stream filter support to mcrypt extension.
Added full_special_chars filter to ext/filter.
Fixed a possible crash because of recursive GC invocation.
Fixed bug #52238 (Crash when an Exception occured in iterator_to_array).
Fixed bug #52041 (Memory leak when writing on uninitialized variable returned from function).
Fixed bug #52060 (Memory leak when passing a closure to method_exists()).
Fixed bug #52001 (Memory allocation problems after using variable variables).
Fixed bug #51723 (Content-length header is limited to 32bit integer with Apache2 on Windows).
Fixed bug #48930 (__COMPILER_HALT_OFFSET__ incorrect in PHP >= 5.3).

Pour les utilisateurs qui souhaitent migrer depuis PHP 5.2, il ya un guide de migration disponible sur http://php.net/migration53, detailant les changements entre les versions précédentes et PHP 5.3.

Pour la liste compléte de changement de PHP 5.3.3, voir le ChangeLog.

PHP 5.2.13

note_php

L'équipe de développement de PHP a annoncé la release 5.2.14 de la branche 5.2.X pour php le 22 juillet 2010.

Cette version met l'accent sur l'amélioration de la stabilité de la branche 5.2.x de PHP avec plus de 60 corrections de bogues, dont certains sont liés à la sécurité.
Cette version marque la fin du support actif de PHP 5.2. Suite à ce communiqué de presse du PHP 5.2 série ne recevra pas plus de correction de bug ou.de correctifs de sécurité pour PHP 5.2 pourrait être publié au cas par cas de base. Tous les utilisateurs de PHP 5.2 sont encouragés à passer à PHP 5.3.

Security Enhancements and Fixes in PHP 5.2.14:

Rewrote var_export() to use smart_str rather than output buffering, prevents data disclosure if a fatal error occurs.
Fixed a possible interruption array leak in strrchr().(CVE-2010-2484)
Fixed a possible interruption array leak in strchr(), strstr(), substr(), chunk_split(), strtok(), addcslashes(), str_repeat(), trim().
Fixed a possible memory corruption in substr_replace().
Fixed SplObjectStorage unserialization problems (CVE-2010-2225).
Fixed a possible stack exaustion inside fnmatch().
Fixed a NULL pointer dereference when processing invalid XML-RPC requests (Fixes CVE-2010-0397, bug #51288).
Fixed handling of session variable serialization on certain prefix characters.
Fixed a possible arbitrary memory access inside sqlite extension. Reported by Mateusz Kocielski.

Key enhancements in PHP 5.2.14 include:

Upgraded bundled PCRE to version 8.02.
Updated timezone database to version 2010.5.
Fixed bug #52238 (Crash when an Exception occured in iterator_to_array).
Fixed bug #52237 (Crash when passing the reference of the property of a non-object).
Fixed bug #52041 (Memory leak when writing on uninitialized variable returned from function).
Fixed bug #51822 (Segfault with strange __destruct() for static class variables).
Fixed bug #51552 (debug_backtrace() causes segmentation fault and/or memory issues).
Fixed bug #49267 (Linking fails for iconv on MacOS: "Undefined symbols: _libiconv").

Pour les utilisateurs de PHP 5.0 et PHP 5, un guide est mis à disposition pour vous aider dans les procédures de mise à jour et détails des changements entre ces deux versions et la version php 5.2.13.

Les intéressés pourront consulter sur cette page la liste complète des changements apportés par PHP 5.2.12
Communiqué PHP 5.2.14
Télécharger PHP 5.2.14