[PHP-users 22167] Re: PHP 4.3.7 Release Announcement

[高橋 照知]

高橋と申します

4.3.7以前には重大なセキュリティホールが存在するとの報告がありました。
4.3.7のChange logを見ましたがそれらしい記述はありませんでした。

4.2.2の環境はもう使ってはいけないということでしょうか．．．

とりあえず報告ということで

以下、元ネタです
//-------------------------------------------------------------------
https://www.netsecurity.ne.jp/article/6/13257.html

スクリプト言語であるPHPは、細工されたURLリクエストによってセキュリティ機能を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 
　2004/06/09 登録 

　危険度：高 
　影響を受けるバージョン：3.0.13以降 
　影響を受ける環境：UNIX、Linux、Windows 
　回避策：4.3.7以降へのバージョンアップ 
//-------------------------------------------------------------------


On Thu, 03 Jun 2004 22:54:33 +0900
Masaki Fujimoto <fujimoto ＠ php.net> wrote:

> ふじもとです。
> 
> またかよ、と思いつつPHP 4.3.7がリリースされました。
> 
> 以下は相変わらず適当なリリースアナウンスの日本語訳です。また、Changes
> の日本語訳が
> 
> http://nx.eth.jp/?PHP-Changes-4.3.7
> 
> にありますので、こちらと合わせてご参考にどうぞ(あくまで参考程度で)。
> 
> --- from http://www.php.net/release_4_3_7.php ---
> PHP 4.3.7 Release Announcement
> 
> PHP開発チームは自信を持ってPHP 4.3.7のリリースをお知らせします。これ
> は、Windows環境におけるescapeshellcmd()とescapeshellarg()関数の脆弱性
> の修正を主な目的としたメンテナンスリリースで、その他の(致命的ではな
> い)幾つかの修正も含まれています。Windows版PHPのユーザは可能な限り早く
> アップグレードすることが推奨されます。
> 
> 
> Bugfix release
> 
> PHP 4.3.7では重要な修正、機能追加、改善が行われています。その一部を以
> 下にあげます：
> 
> * PHP同梱のGDライブラリのバージョンを2.0.23に更新
> * FreeType 2.1.0-2.1.2を使用した場合にGD拡張モジュールがコンパイルでき
>   ない問題の修正
> * スレッドセーフ環境下でのInformixのコネクションIDに関する問題の修正
> * Windows版のglob()が相対パスを正しく解決できない問題の修正
> * HTMLエンティティのギリシャ文字のマッピングを修正
> * Apache 2.0.49上でPHPを動作させた場合に(Apacheが)シャットダウンしてし
>   まう問題の修正
> * pgsql, cpdf, gd拡張モジュールのクラッシュバグの修正
> * バージョン4.3.6リリース以降に発見された(全部で)約30のバグを修正
> 
> PHP 4.3.7における変更点の一覧についてはChangelogを参照してくださ
> い。
> 
> 英語：http://www.php.net/ChangeLog-4.php#4.3.7
> 日本語：http://nx.eth.jp/?PHP-Changes-4.3.7
> 
> 
> -- 
> Masaki Fujimoto
> fujimoto ＠ php.net
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ns1.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://www.php.gr.jp/php/novice.php3