セキュリティ修正含む「PHP 5.2.5」リリース:セキュリティ - ZDNet Japan
PHP-5.2.5が出たそうです。セキュリティ対応も含んで60以上のバグ修正とのこと。
今回リリースされた新バージョンは、主に安定性の向上を目的としており、セキュリティ関連の問題を含む60以上のバグが修正された。また、PHPに組み込まれている正規表現ライブラリ「PCRE」(Perl Compatible Regular Expressions)は、PCRE 7.3へアップデートされた。
Security Enhancements and Fixes in PHP 5.2.5:
- Fixed dl() to only accept filenames. Reported by Laurent Gaffie.
- Fixed dl() to limit argument size to MAXPATHLEN (CVE-2007-4887). Reported by Laurent Gaffie.
- Fixed htmlentities/htmlspecialchars not to accept partial multibyte sequences. Reported by Rasmus Lerdorf
- Fixed possible triggering of buffer overflows inside glibc implementations of the fnmatch(), setlocale() and glob() functions. Reported by Laurent Gaffie.
- Fixed "mail.force_extra_parameters" php.ini directive not to be modifiable in .htaccess due to the security implications. Reported by SecurityReason.
- Fixed bug #42869 (automatic session id insertion adds sessions id to non-local forms).
- Fixed bug #41561 (Values set with php_admin_* in httpd.conf can be overwritten with ini_set()).