Представлен релиз интерпретатора языка программирования PHP 5.3.6 в котором устранено 5 уязвимостей и исправлено более 60 ошибок, сообщает opennet.ru. Отдельно отмечается, что ветка PHP 5.2 больше не поддерживается и все находящиеся в ней уязвимости остаются неисправленными, поэтому пользователям рекомендуется обновить свои системы до версии PHP 5.3.6. Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить:
- Устранена опасная уязвимость, позволяющая выйти за допустимые границы памяти при обработке изображений со специально оформленным тегом в блоке exif-параметров (CVE-2011-0708);
- Исправлена уязвимость, вызванная ошибкой форматирования строки (format-string) в расширении Phar (CVE-2011-1153);
- Исправлено целочисленное переполнение в функции shmop_read (CVE-2011-1092);
- Исправлено переполнение буфера при указании большого значения в параметре конфигурации "precision";
- Устранена уязвимость, приводящая нарушению границ памяти при использовании ZipArchive с опцией FL_UNCHANGED при обработке пустого zip-архива (CVE-2011-0421);
- Усилена безопасность в коде парсинга протокола fastcgi в fpm SAPI.
Подробности