PHP开发团队宣布最新的PHP5.2.3版本发布。这个版本继续改善了5.X系列的安全性和稳定性,也选择了之前5.2版本提出的两个恢复。这些恢复是关于非模块的SSL连接的超时处理和某些情况下HTTP_RAW_POST 数据的缺失的问题。我们推荐所有的用户升级到这个版本。
下载PHP 5.2.3 for Windows:http://download.pchome.net/development/sever/php/19023.html
PHP 5.2.3 for Unix/Linux:http://download.pchome.net/development/sever/php/7883.html
PHP5.2.3中的安全增强和修正:
修正了chunk_split()函数中的一个整型溢出。
修正了imagecreatefrompng中可能的死循环。
修正了ext/fixer电子邮件验证的攻击。
修正了#41492(在realpath()函数中绕过open_basedir和safe_mode)漏洞。
改进了CVE-2007-1887的修正使其能够与未绑定sqlite2库协同工作。
添加了mysql_set_charset() 函数,允许改变连接编码的运行时间。
PHP5.2.3的主要改进包括:
改进了heredocs和替换字符串的编译。
优化了几个单请求的系统调用。
优化了md5()和sha1()函数中消息摘要的生成。
修正了#41236漏洞(在读写过程中非模块的SSL连接的超时处理)。
修正了#39542漏洞(require/include与5.2.0以下版本不同的行为)。
修正了#41293漏洞(修正了当没有默认的邮件处理时HTTP_RAW_POST_DATA的创建)。
修正了#41347漏洞(空主机名时checkdnsrr()函数的段错误)。
修正了#41353漏洞(openssl_pkcs12_read()函数中无效输入的失败)。
修正了#41403漏洞(如果localeconv使用的小数点不是“.”,json_decode函数不能解码浮点数)。
修正了#41421漏洞(从一个流封装的段错误中无法捕获的异常)。
修正了#41504漏洞(json_decode()函数用空字符串键解码json数组错误)。
超过40个漏洞修正。
网友评论