PHP brengt 5.2.8 uit na security issue in recente release 5.2.7
Gepost door: marten - 09 december 2008 - 08:52 - Bron: www.php.net - Hits: 1303
8 december is versie 5.2.8 van PHP uitgebracht. De versie kwam direct na de release van versie 5.2.7. Deze laatste versie werd hals over kop weer van de site afgehaald wegens een probleem in de filter extensie die weer zijn problemen door gaf aan de magic_quotes configuratie. Voor de mensen die 5.2.7 reeds hebben geinstalleerd is er een mogelijkheid om deze bug te omzeilen door de volgende fix te verwerken in je php.ini:
filter.default_flags=0
De volgende verbeteringen zijn aangebracht in 5.2.7 (5.2.8)
Security Enhancements and Fixes in PHP 5.2.7:
* Upgraded PCRE to version 7.8 (Fixes CVE-2008-2371) * Fixed missing initialization of BG(page_uid) and BG(page_gid), reported by Maksymilian Arciemowicz. * Fixed incorrect php_value order for Apache configuration, reported by Maksymilian Arciemowicz. * Fixed a crash inside gd with invalid fonts (Fixes CVE-2008-3658). * Fixed a possible overflow inside memnstr (Fixes CVE-2008-3659). * Fixed security issues detailed in CVE-2008-2665 and CVE-2008-2666. * Fixed bug #45151 (Crash with URI/file..php (filename contains 2 dots)).(Fixes CVE-2008-3660) * Fixed bug #42862 (IMAP toolkit crash: rfc822.c legacy routine buffer overflow). (Fixes CVE-2008-2829)
Key enhancements in PHP 5.2.7 include:
* Fixed several memory leaks inside the readline and sqlite extensions * A number of corrections relating to date parsing inside the date extension * Fixed bugs relating to data retrieval in the PDO extension * A series of crashes in various areas of code were resolved * Several corrections were made to the strip_tags() function in terms of < and <?XML handling * A number of bugs were fixed in extract() function when EXTR_REFS flag is being used * Added the ability to log PHP errors to the SAPI (Ex. Apache log) logging facility * Over 170 bug fixes.
De bug zet magic_quotes uit als die aan staat in 5.2.7. Bij mij staat die ook uit. De programmeur is zelf verantwoordelijk voor de beveiliging. Gelukkig is magic_quotes uitgeschakeld vanaf 5.3.
Wie nu nog magic_quotes gebruikt is sowieso fout bezig, maar het blijft zo dat het een 'feature' is die nog in die versie hoort te zitten. Pas vanaf 6.0 zal het verdwijnen, dus tot dan moet het natuurlijk wel blijven werken.