 |
Адрес в интернете: https://news.hostdb.ru/index/show/id/5428 |
Релиз PHP 5.3.9
Представлен релиз интерпретатора языка программирования PHP 5.3.9 в котором устранено 2 уязвимости и исправлено около 90 ошибок, среди которых устранение проблемы со сборкой mysqlnd и многочисленные изменения в модуле FPM SAPI.
Из связанных с безопасностью исправлений в PHP 5.3.9 можно отметить:
Добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов и обходным путём защититься от DoS-атак, эксплуатирующих проблему с предсказуемыми коллизиями в реализации алгоритма хэширования. Сам алгоритм хэширования в ветке 5.3 не изменился и по прежнему содержит потенциальную проблему с безопасностью, которая может быть эксплуатирована другим путем (например, через загрузку файла, элементы которого используются при работе приложения как ключи хэша). Необходимая для полной защиты рандомизация поступающих ключей реализована только в экспериментальной ветке PHP 5.4.
Устранено целочисленное переполнение в коде разбора значений в заголовках EXIF, что могло быть использовано для чтения содержимого произвольных областей памяти через передачу специально оформленных изображений в обработчик, использующий PHP-модуль exif;
Кроме того, представлен пятый кандидат в релизы PHP 5.4. Через две недели планируется выпустить ещё одну тестовую версию, после чего в течение февраля будет сформирован финальный релиз.
Распечатано с HostDB.ru.