Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties
Bron: The PHP Group

De ontwikkelaars van The PHP Group hebben een nieuwe release uitgebracht van PHP en hier het versienummer 4.4.1 aan meegegeven. Ze raden iedereen die gebruik maakt van PHP 4.3 of PHP 4.4 aan om te upgraden. Met deze versie worden een rits bugs en een aantal beveiligingslekken met het overschrijven van de GLOBALS array opgelost. De meegeleverde aankondiging ziet er als volgt uit:

The PHP Development Team would like to announce the immediate release of PHP 4.4.1. This is a bug fix release, which addresses some security problems too. The security issues that this release fixes are:
  • Fixed a Cross Site Scripting (phpinfo() that could lead f.e. to cookie exposure, when a phpinfo() script is accidently left on a production server.
  • Fixed multiple safe_mode/open_basedir bypass vulnerabilities in ext/curl and ext/gd that could lead to exposure of files normally not accessible due to safe_mode or open_basedir restrictions.
  • Fixed a possible $GLOBALS overwrite problem in file upload handling, extract() and import_request_variables() that could lead to unexpected security holes in scripts assumed secure. (For more information, see parse_str() calls. In some cases this can result in register_globals being turned on.
  • Fixed an issue with trailing slashes in allowed basedirs. They were ignored by open_basedir checks, so that specified basedirs were handled as prefixes and not as full directory names.
  • Fixed an issue with calling CAN-2005-2491.
This release also fixes 35 other defects, where the most important is the the fix that removes a notice when passing a by-reference result of a function as a by-reference value to another function. (Bug #
  • Fixed bug #34850 (--program-suffix and --program-prefix not included in man page names).
  • Fixed bug #34790 (preg_match_all(), named capturing groups, variable assignment/return => crash).
  • Fixed bug #34742 (ftp wrapper failures caused from segmented command transfer).
  • Fixed bug #34704 (Infinite recursion due to corrupt JPEG).
  • Fixed bug #34645 (ctype corrupts memory when validating large numbers).
  • Fixed bug #34565 (mb_send_mail does not fetch mail.force_extra_parameters).
  • Fixed bug #34557 (php -m exits with "error" 1).
  • Fixed bug #34456 (Possible crash inside pspell extension).
  • Fixed bug #34311 (unserialize() crashes with chars above 191 dec).
  • Fixed bug #34307 (on_modify handler not called to set the default value if setting from php.ini was invalid).
  • Fixed bug #34302 (date('W') do not return leading zeros for week 1 to 9).
  • Fixed bug #34277 (array_filter() crashes with references and objects).
  • Fixed bug #34191 (ob_gzhandler does not enforce trailing \0).
  • Fixed bug #34156 (memory usage remains elevated after memory limit is reached).
  • Fixed bug #34148 (+,- and . not supported as parts of scheme).
  • Fixed bug #34137 (assigning array element by reference causes binary mess).
  • Fixed bug #34068 (Numeric string as array key not cast to integer in wddx_deserialize()).
  • Fixed bug #34064 (arr[] as param to function is allowed only if function receives argument by reference).
  • Fixed bug #33989 (extract($GLOBALS,EXTR_REFS) crashes PHP).
  • Fixed bug #33987 (php script as ErrorDocument causes crash in Apache 2).
  • Fixed bug #33940 (array_map() fails to pass by reference when called recursively).
  • Fixed bug #33690 (Crash setting some ini directives in httpd.conf).
  • Fixed bug #33673 (Added detection for partially uploaded files).
  • Fixed bug #33648 (Using --with-regex=system causes compile failure).
  • Fixed bug #33558 (Warning with nested calls to functions returning by reference).
  • Fixed bug #33383 (crash when retrieving empty LOBs).
  • Fixed bug #33156 (cygwin version of setitimer doesn't accept ITIMER_PROF).
  • Fixed bug #32937 (open_basedir looses trailing / in the limiter).
  • Fixed bug #32589 (possible crash inside imap_mail_compose() function).
  • Fixed bug #32179 (xmlrpc_encode() segfaults with recursive references).
  • Fixed bug #32160 (copying a file into itself leads to data loss).
  • Fixed bug #31158 (array_splice on $GLOBALS crashes).
  • Fixed bug #29983 (PHP does not explicitly set mime type & charset).
  • Fixed bug #29253 (array_diff with $GLOBALS argument fails).
  • Fixed bug #21306 (ext/sesssion: catch bailouts of write handler during RSHUTDOWN).
  • [break]De volgende downloads staan klaar:
    * Source bz2
    * Source tarball
    * Windows Installer
    * Windows Zipped
    Versienummer:4.4.1
    Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, OS/2, Solaris, UNIX, Windows Server 2003
    Website:The PHP Group
    Download:http://www.php.net/downloads.php
    Licentietype:Voorwaarden (GNU/BSD/etc.)
    Moderatie-faq Wijzig weergave

    Reacties (9)

    :?

    Wordt versie 4 nog gedeveloped? Terwijl 5 uit is?

    Blijkbaar wel. Maar waarom?
    Omdat niet iedereen PHP5 heeft/kan upgraden, en er toch fixes voor uitkomen?

    MS geeft ook nog support/fixes voor 2K met XP uit.
    PHP 5 is niet volledig backwards compatible met PHP 4, het kan dus voor een bedrijf welke een grote infrastructuur heeft en gebruik maakt van PHP 4 een dure klus worden alles te checken en fixen met PHP 5.

    Aan de andere kant is stabiliteit en security wel een issue en dus installeren ze wel patches van PHP 4, daar hebben ze van te voren al budget voor gereserveerd.

    Daarnaast zijn er nog veel organisaties die PHP 5 nog niet als zijnde 'stabiel' hebben verklaard. Een van die organisaties is bijvoorbeeld CPanel.

    CPanel is wel al bezig met het ondersteunen van PHP 5, maar bieden nog geen automatische upgrade functie aan. En wanneer men zelf PHP 5 installeert wordt er ook maar beperkt support gegeven. Ikzelf heb op een aantal CPanel servers al PHP 5 geinstalleerd zonder problemen, maar blijkbaar zijn er toch genoeg problemen dat CPanel het nog tegenhoudt.

    Wanneer PHP 5 wat verder doorontwikkelt wordt en meer voordelen tov PHP 4 gaat bieden gaan mensen vanzelf upgraden.

    De overstap van PHP 3 naar PHP 4 was ook niet van de ene op de andere dag.
    Ze zouden beter een stable php 5.1.0 uitbrengen :P. Mijn host blijft steken op PHP 4.3.11. En ik heb hier thuis op m'n eigen servertje PHP 5.0.5 draaien terwijl phpinfo zegt dat het PHP 5.0.4 is.
    Dan moet je vast je webserver nog herstarten 8-)
    Ze zouden beter een stable php 5.1.0 uitbrengen .
    Waarom?
    Aan 5.1 wordt gewerkt (rc4 nu), maar dat betekent toch niet dat 4.4 direct gedropped wordt?
    In mijn ervaring is PHP 4.x.x. nog altijd een stuk meer stable dan 5.x.x. Tot 5.x.x 4.x.x evenaart ben ik toch wel erg blij dat ze (security)fixes uitbrengen voor 4.x.x
    Het kan zijn dat je webhoster wat problemen heeft ondervonden met upgrade naar 4.4.x.

    Zo is het bijvoorbeeld zo dat bij hosters met het Direct Admin controle paneel, het mogelijk is dat de server tijdens een upgrade vreemd gedrag gaat vertonen, waardoor een aantal hosters het nog even op de oude versie houden.
    (Er wordt in ieder geval wel aan gewerkt, maar het is nog onbekend wat de relatie is tussen het hercompileren van PHP en het wegvallen van de SSH service...)

    Hosters met andere controle panelen zouden eigenlijk wel moeten upgraden imho :D
    Ik heb btw ge-upgrade, en alles werkt prima en geen problemen tegengekomen.

    eaccelerator werkt ook prima met 4.4.1

    ---

    Nog een kleine additie:
    Squirrelmail en phpadsnew werkt nietmeer na de upgrade, je moet de laatste snapshot gebruiken van 4.4.1

    http://bugs.php.net/bug.php?id=35067

    Op dit item kan niet meer gereageerd worden.



    Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

    © 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True