Обновление PHP 5.4.45, 5.5.29 и 5.6.13 с устранением 11 уязвимостей
Доступны корректирующие выпуски языка программирования PHP 5.6.13, 5.5.29 и 5.4.45, в которых внесено 11 связанных с безопасностью исправлений и устранена порция ошибок. Сообщается, что выпуск 5.4.45 завершает цикл поддержки ветки 5.4.x — в дальнейшем выпускать обновления для данной ветки не планируется, но не исключается выпуск дополнительного релиза в случае выявления критической уязвимости.
Из устранённых уязвимостей можно отметить обращение к уже освобождённым блокам памяти в коде десериализации сеансов и функции unserialize (), выход за допустимые границы файловых путей в CLI-сервере («GET /…%5c…%5c…%5c…%5c…%5c…%5c…%5c…%5c…%5c…%5c/windows/win.ini»), переполнение буфера при разборе TIFF IFD-тега в дополнении EXIF, генерация неверных значений при использовании хэшей HAVAL, разыменование нулевого указателя при разборе XSLT, разархивирование в стороннюю директорию при использовании ZipArchive: extractTo, несколько уязвимостей в дополнениях PCRE и SPL.
© OpenNet