Обновление PHP 5.6.6, 5.5.22 и 5.4.38 с устранением уязвимостей

20.02.2015 11:27

Доступны корректирующие выпуски языка программирования PHP 5.6.6, 5.5.22 и 5.4.38, в которых устранены две уязвимости и исправлено более 20 ошибок. Уязвимость CVE-2015-0235 связана с возможностью проведения атаки GHOST из-за прямой передачи аргументов gethostbyname() в соответствующую функцию Glibc. Уязвимость CVE-2015-0273 вызвана обращением к уже освобождённым областям памяти при декодировании данных DateTimeZone через вызов unserialize().

В новых выпусках также прекращена поддержка многострочных заголовков, объявленных устаревшими в RFC 7230. В функции exec, system и passthru добавлена защита от манипуляций с данными, содержащими символ с нулевым кодом. Из проблем, которые вероятно имеют отношение к безопасности, но явно об этом не заявлено, можно отметить переполнение буфера в функции enchant_broker_request_dict(), двойной вызов функции free для освобождения памяти в расширении Fileinfo, крах FPM при закрытии сокета сервером, обращение к уже освобождённой области памяти в дополнении Phar.

Кроме того, можно отметить публикацию компанией Facebook первого варианта спецификации для языка программирования Hack, который обратно совместим с PHP и расширяет синтаксис PHP поддержкой статической типизации и ряда расширенных возможностей, заимствованных из других языков программирования, таких как обобщения (generics по образу C# и Java), null-значения, коллекции, Lambda-выражения, механизмы асинхронного программирования, составные shape-структуры и средства для переопределения имён типов. Код на языке Hack выполняется с использованием виртуальной машины HHVM (HipHop Virtual Machine).

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41696-php

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (7)

1.1, Аноним (-), 14:24, 20/02/2015 [ответить]	+2 +/–
Кроме того, можно отметить публикацию компанией Facebook первого варианта спецификации для языка программирования Hack Опять опеннетовская "фича" - две напрочь разные новости - в одном флаконе. Бл, апруверы, вы там что, уху ели? Hack - тyпo другой язык и рантайм. Нафига ж так валить в кучу?

2.2, A.Stahl (ok), 14:28, 20/02/2015 [^] [^^] [^^^] [ответить]	+3 +/–
Не вижу ничего плохого в том, чтобы объединить две довольно скучные новости. ПХПисты справились с уязвимостью? Ну ок. Что тут ещё сказать? Фейсбук опубликовала доку по очередному NIH-язычку? Ну и хрен с ними. Новости такого сорта можно вообще накапливать в течение недели, а потом вываливать одной статьёй.

3.3, cmp (ok), 15:14, 20/02/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Ога, новости про очередную версию "чего там у вас крутится" можно публиковать раз в два года ввиде одной строки - вышла версия блаблаблатона несовместимая с другими.

4.4, Аноним (-), 20:09, 20/02/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> Ога, новости про очередную версию "чего там у вас крутится" можно публиковать > раз в два года ввиде одной строки - вышла версия блаблаблатона > несовместимая с другими. Бегущей строкой в статус баре браузера 1 раз в год

3.6, manchester (?), 15:37, 22/02/2015 [^] [^^] [^^^] [ответить]	+1 +/–
но в 1 строку смешивать мух с г****м НЕ нужно - тогда уж делайте 2 разные новости!!!

3.7, Аноним (-), 17:57, 23/02/2015 [^] [^^] [^^^] [ответить]	+/–
> Новости такого сорта можно вообще накапливать в течение недели, а потом вываливать одной статьёй. Если новостей сотня в день - это было бы ок. А если вместо 2 новостей в день станет 3 - мы это явно сможем пережить.

1.5, Есюки (?), 22:08, 20/02/2015 [ответить]	+1 +/–
Это надо в полезные советы: "Обновите Пых=Пых. Закрыли очередную порцию уязвимостей." И все!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: