Релиз PHP 4.4.8 с исправлением проблем безопасности

04.01.2008 11:45

Анонсирован релиз PHP 4.4.8 (прошлый релиз, 4.4.7, вышел в мае), в котором исправлены ошибки влияющие на стабильность работы и устранено несколько уязвимостей:

  • Усовершенствован код для предотвращения уязвимостей связанных с переполнением стека через функции, в которых используется рекурсивный вызов.
  • Устранено целочисленное переполнение в функциях chunk_split() и str[c]spn().
  • Исправлены проблемы с глобальными переменными при использовании open_basedir, внесенные в одной из прошлых правок (#41655 fix).
  • Исправлена работа функции money_format(), в которой запрещено использование множественных %i и %n.
  • В php.ini добавлена директива "max_input_nesting_level", ограничивающая уровень вложенности массивов.
  • При включенных open_basedir и safe_mode теперь недопускается выполнение INFILE LOCAL опций в MySQL;
  • Устранена возможность обхода ограничений open_basedir и safe_mode через session.save_path и error_log.

Напоминаю, что исправления ошибок безопасности для ветки PHP 4.4 будут выходить до 8 августа 2008 года.