[PHP-users 23928] PHP 4.3.10 Release Announcement

[Masaki Fujimoto]

ふじもとです。

先の下岡さんのメールにもありますようにPHP 4.3.10がリリースされました。

以下はいつまでも変わらずに適当なリリースアナウンスの日本語訳です。ま
た、Changesの日本語訳が

http://nx.eth.jp/?PHP-Changes-4.3.10

にありますので、こちらと合わせてご参考にどうぞ(あくまで限りなく参考程
度で)。

unserialize()の問題はremote exploitになり得る(大分難しいとは思います
が)のでちょっと困ってしまいますね。

ダウンロードは

→ http://jp2.php.net/downloads.php

からどうぞ。

--- from http://jp2.php.net/release_4_3_10.php ---
PHP開発チームはPHP 4.3.10の緊急リリースをお知らせします。これはメンテ
ナンスリリースで、30以外の些細なバグの修正と、幾つかの重要なセキュリテ
ィ上の修正が行われています：

CAN-2004-1018 - shmop_write()のアクセスバイオレーション
CAN-2004-1018 - pack()のunpack()オーバーフロー
CAN-2004-1019 - unserialize()で負の参照数をインデックスに持つ配列が存
在すると任意のコードが実行される可能性がある
CAN-2004-1020 - addslashes()が'\0'をエスケープしていない
CAN-2004-1063 - safe_mode_exec_dir設定のバイパス
CAN-2004-1064 - open_basedir設定のバイパス
CAN-2004-1065 - exif_read_data()のオーバーフロー
magic_quotes_gpcによってファイルアップロードディレクトリの1階層上まで
アクセス可能になる

(訳注：適当に、勝手に意訳していますのでフォロー歓迎です。なお、CAN-*の
リンク先は現在無意味なので割愛しました。セキュリティホールの詳細につい
ては以下のURLを御覧下さい(2004/12/28まで有効):
http://groups-beta.google.com/group/muc.lists.bugtraq/browse_thread/thread/7c7ae6f328f28913?tvc=2&q=CAN-2004-1064
)

全てのPHPユーザに対してPHP 4.3.10へのアップグレードを強く推奨します。


Bugfix Release

上記に加えて、以下の修正も行われています:

- ftp_get()がクラッシュするかもしれない問題の修正
- Windowsでget_current_user()がクラッシュする問題の修正
- ctype_digit()に大きな値を渡すとクラッシュするかもしれない問題の修正
- ?getvariable[][という文字列をパースするとクラッシュする問題の修正
- curl_getinfo()がクラッシュするかもしれない問題の修正
- openssl_csr_new()が失敗した場合にdouble freeする問題の修正
- サポートされていない/不明なsession.save_handlerあるいは
  sesion.serialize_handlerが指定された場合にクラッシュする問題を修正
- curl拡張モジュールでリダイレクトによって無限に再帰してしまうかもしれ
  ない問題を修正
- GDが生成する一時ファイルが確実に削除されるように修正
- fgetcsv()に負の値を渡した場合にクラッシュする問題を修正
- foreach()のパフォーマンス改善
- *printf関数に%F修飾子(ロケール設定に影響されずに"."を小数点として表
  示する)を追加

変更点の一覧についてはChangeLogをご覧下さい。

英語：http://www.php.net/ChangeLog-4.php#4.3.10
日本語：http://nx.eth.jp/?PHP-Changes-4.3.10
---------------------------------------------------
--
Masaki Fujimoto
fujimoto ＠ php.net