Представлены [3] внеплановые обновления PHP 5.4.3 и 5.3.13, в которых устранена уязвимость [4] в реализации работы PHP в режиме CGI, позволяющая передать интерпретатору произвольные опции командной строки, что может быть использовано для организации выполнения кода злоумышленника.
Кроме того, в версии PHP 5.4.3 устранено переполнение буфера в функции apache_request_headers() [5], которое может привести к осуществлению атаки на использующие данную функцию приложения через передачу специально скомпонованных HTTP-заголовков. Ветка PHP 5.3 не подвержена данной уязвимости.
Ссылки:
[1] http://htfl.ru/cat-news-php
[2] http://htfl.ru/cat-news-obnovlenie-po
[3] /out.php?link=http://www.php.net/index.php#id2012-05-08-1
[4] http://htfl.ru/news/kriticheskaya-uyazvimost-v-php-obnovleniya-php-5312-i-php-542-ne-ustranyayut-problemu
[5] /out.php?link=http://php.net/manual/en/function.apache-request-headers.php