L'équipe de développement PHP annonce la disponibilité immédiate de PHP 5.2.5. Cette version améliore la stabilité de la série 5.2.x, avec plus de 60 corrections de bogues, dont plusieurs concernent la sécurité. Tous les utilisateurs de PHP sont encouragés à mettre à jour leur version.
Plus de détails sur la version 5.2.5 sont disponibles dans le fichier d'historique ChangeLog de PHP 5.
Les corrections de sécurité de PHP 5.2.5 sont :
- Correction de dl() pour qu'il n'accepte que des noms de fichiers. Rapporté par Laurent Gaffie.
- Correction de dl() pour limiter la taille de l'argument à MAXPATHLEN (CVE-2007-4887). Rapporté par Laurent Gaffie.
- Correction pour que htmlentities et htmlspecialchars n'acceptent pas de séquences multi-octets partielles. Rapporté par Rasmus Lerdorf
- Correction d'un dépassement de capacité possible dans les fonctions fnmatch(), setlocale() et glob(). Rapporté par Laurent Gaffie.
- Correction de la directive php.ini "mail.force_extra_parameters" qui ne doit pas être modifiable dans le fichier .htaccess, à cause d'implications de sécurité. Rapporté par SecurityReason.
- Correction du bogue #42869 (Injection d'identifiant de session dans les formulaires non-locaux).
- Correction du bogue #41561 (les valeurs configurées avec php_admin_* dans httpd.conf peuvent être remplacées avec ini_set()).
Pour les utilisateurs qui passent à PHP 5.2 depuis 5.0 et 5.1, un guide de migration est disponible dans la documentation, détaillant les changements entre ces versions et PHP 5.2.5.
- Téléchargement PHP 5.2.5
- Changelog PHP 5.2.5
Plus de détails sur la version 5.2.5 sont disponibles dans le fichier d'historique ChangeLog de PHP 5.
Les corrections de sécurité de PHP 5.2.5 sont :
- Correction de dl() pour qu'il n'accepte que des noms de fichiers. Rapporté par Laurent Gaffie.
- Correction de dl() pour limiter la taille de l'argument à MAXPATHLEN (CVE-2007-4887). Rapporté par Laurent Gaffie.
- Correction pour que htmlentities et htmlspecialchars n'acceptent pas de séquences multi-octets partielles. Rapporté par Rasmus Lerdorf
- Correction d'un dépassement de capacité possible dans les fonctions fnmatch(), setlocale() et glob(). Rapporté par Laurent Gaffie.
- Correction de la directive php.ini "mail.force_extra_parameters" qui ne doit pas être modifiable dans le fichier .htaccess, à cause d'implications de sécurité. Rapporté par SecurityReason.
- Correction du bogue #42869 (Injection d'identifiant de session dans les formulaires non-locaux).
- Correction du bogue #41561 (les valeurs configurées avec php_admin_* dans httpd.conf peuvent être remplacées avec ini_set()).
Pour les utilisateurs qui passent à PHP 5.2 depuis 5.0 et 5.1, un guide de migration est disponible dans la documentation, détaillant les changements entre ces versions et PHP 5.2.5.
- Téléchargement PHP 5.2.5
- Changelog PHP 5.2.5
-
Auteur
-
Origine
