[PHP-users 23928] PHP 4.3.10 Release Announcement
Masaki Fujimoto
fujimoto @ php.net
2004年 12月 16日 (木) 18:47:52 JST
ふじもとです。
先の下岡さんのメールにもありますようにPHP 4.3.10がリリースされました。
以下はいつまでも変わらずに適当なリリースアナウンスの日本語訳です。ま
た、Changesの日本語訳が
http://nx.eth.jp/?PHP-Changes-4.3.10
にありますので、こちらと合わせてご参考にどうぞ(あくまで限りなく参考程
度で)。
unserialize()の問題はremote exploitになり得る(大分難しいとは思います
が)のでちょっと困ってしまいますね。
ダウンロードは
→ http://jp2.php.net/downloads.php
からどうぞ。
--- from http://jp2.php.net/release_4_3_10.php ---
PHP開発チームはPHP 4.3.10の緊急リリースをお知らせします。これはメンテ
ナンスリリースで、30以外の些細なバグの修正と、幾つかの重要なセキュリテ
ィ上の修正が行われています:
CAN-2004-1018 - shmop_write()のアクセスバイオレーション
CAN-2004-1018 - pack()のunpack()オーバーフロー
CAN-2004-1019 - unserialize()で負の参照数をインデックスに持つ配列が存
在すると任意のコードが実行される可能性がある
CAN-2004-1020 - addslashes()が'\0'をエスケープしていない
CAN-2004-1063 - safe_mode_exec_dir設定のバイパス
CAN-2004-1064 - open_basedir設定のバイパス
CAN-2004-1065 - exif_read_data()のオーバーフロー
magic_quotes_gpcによってファイルアップロードディレクトリの1階層上まで
アクセス可能になる
(訳注:適当に、勝手に意訳していますのでフォロー歓迎です。なお、CAN-*の
リンク先は現在無意味なので割愛しました。セキュリティホールの詳細につい
ては以下のURLを御覧下さい(2004/12/28まで有効):
http://groups-beta.google.com/group/muc.lists.bugtraq/browse_thread/thread/7c7ae6f328f28913?tvc=2&q=CAN-2004-1064
)
全てのPHPユーザに対してPHP 4.3.10へのアップグレードを強く推奨します。
Bugfix Release
上記に加えて、以下の修正も行われています:
- ftp_get()がクラッシュするかもしれない問題の修正
- Windowsでget_current_user()がクラッシュする問題の修正
- ctype_digit()に大きな値を渡すとクラッシュするかもしれない問題の修正
- ?getvariable[][という文字列をパースするとクラッシュする問題の修正
- curl_getinfo()がクラッシュするかもしれない問題の修正
- openssl_csr_new()が失敗した場合にdouble freeする問題の修正
- サポートされていない/不明なsession.save_handlerあるいは
sesion.serialize_handlerが指定された場合にクラッシュする問題を修正
- curl拡張モジュールでリダイレクトによって無限に再帰してしまうかもしれ
ない問題を修正
- GDが生成する一時ファイルが確実に削除されるように修正
- fgetcsv()に負の値を渡した場合にクラッシュする問題を修正
- foreach()のパフォーマンス改善
- *printf関数に%F修飾子(ロケール設定に影響されずに"."を小数点として表
示する)を追加
変更点の一覧についてはChangeLogをご覧下さい。
英語:http://www.php.net/ChangeLog-4.php#4.3.10
日本語:http://nx.eth.jp/?PHP-Changes-4.3.10
---------------------------------------------------
--
Masaki Fujimoto
fujimoto @ php.net
PHP-users メーリングリストの案内