Релиз PHP 5.3.9

Представлен [3] релиз интерпретатора языка программирования PHP 5.3.9 в котором устранено 2 уязвимости и исправлено [4] около 90 ошибок, среди которых устранение проблемы со сборкой mysqlnd и многочисленные изменения в модуле FPM SAPI.
Из связанных с безопасностью исправлений в PHP 5.3.9 можно отметить:

• Добавлена директива max_input_vars, позволяющая ограничить число входящих параметров для поступающих HTTP-запросов и обходным путём защититься от DoS-атак, эксплуатирующих проблему [5] с предсказуемыми коллизиями в реализации алгоритма хэширования. Сам алгоритм хэширования в ветке 5.3 не изменился и по прежнему содержит потенциальную проблему с безопасностью, которая может быть эксплуатирована другим путем (например, через загрузку файла, элементы которого используются при работе приложения как ключи хэша). Необходимая для полной защиты рандомизация поступающих ключей реализована только в экспериментальной ветке PHP 5.4.
• Устранено целочисленное переполнение [6] в кода разбора значений в заголовках EXIF, что могло быть использовано для чтения содержимого произвольных областей памяти через передачу специально оформленных изображений в обработчик, использующий PHP-модуль exif;

Кроме того, представлен [7] пятый кандидат в релизы PHP 5.4. Через две недели планируется выпустить ещё одну тестовую версию, после чего в течение февраля будет сформирован финальный релиз. Обзор новшеств PHP 5.4 можно прочитать в анонсе бета-версии [8].