Обновление PHP 5.6.6, 5.5.22 и 5.4.38 с устранением уязвимостей
20 февраля 2015 года
Доступны корректирующие выпуски языка программирования PHP 5.6.6, 5.5.22 и 5.4.38, в которых устранены две уязвимости и исправлено более 20 ошибок. Уязвимость CVE-2015-0235 связана с возможностью проведения атаки GHOST из-за прямой передачи аргументов gethostbyname() в соответствующую функцию Glibc. Уязвимость CVE-2015-0273 вызвана обращением к уже освобождённым областям памяти при декодировании данных DateTimeZone через вызов unserialize().
В новых выпусках также прекращена поддержка многострочных заголовков, объявленных устаревшими в RFC 7230. В функции exec, system и passthru добавлена защита от манипуляций с данными, содержащими символ с нулевым кодом. Из проблем, которые вероятно имеют отношение к безопасности, но явно об этом не заявлено, можно отметить переполнение буфера в функции enchant_broker_request_dict(), двойной вызов функции free для освобождения памяти в расширении Fileinfo, крах FPM при закрытии сокета сервером, обращение к уже освобождённой области памяти в дополнении Phar.
Кроме того, можно отметить публикацию компанией Facebook первого варианта спецификации для языка программирования Hack, который обратно совместим с PHP и расширяет синтаксис PHP поддержкой статической типизации и ряда расширенных возможностей, заимствованных из других языков программирования, таких как обобщения (generics по образу C# и Java), null-значения, коллекции, Lambda-выражения, механизмы асинхронного программирования, составные shape-структуры и средства для переопределения имён типов. Код на языке Hack выполняется с использованием виртуальной машины HHVM (HipHop Virtual Machine).
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
