Software-update: PHP 4.4.1

De ontwikkelaars van The PHP Group hebben een nieuwe release uitgebracht van PHP en hier het versienummer 4.4.1 aan meegegeven. Ze raden iedereen die gebruik maakt van PHP 4.3 of PHP 4.4 aan om te upgraden. Met deze versie worden een rits bugs en een aantal beveiligingslekken met het overschrijven van de GLOBALS array opgelost. De meegeleverde aankondiging ziet er als volgt uit:

The PHP Development Team would like to announce the immediate release of PHP 4.4.1. This is a bug fix release, which addresses some security problems too. The security issues that this release fixes are:
  • Fixed a Cross Site Scripting (XSS) vulnerability in phpinfo() that could lead f.e. to cookie exposure, when a phpinfo() script is accidently left on a production server.
  • Fixed multiple safe_mode/open_basedir bypass vulnerabilities in ext/curl and ext/gd that could lead to exposure of files normally not accessible due to safe_mode or open_basedir restrictions.
  • Fixed a possible $GLOBALS overwrite problem in file upload handling, extract() and import_request_variables() that could lead to unexpected security holes in scripts assumed secure. (For more information, see here).
  • Fixed a problem when a request was terminated due to memory_limit constraints during certain parse_str() calls. In some cases this can result in register_globals being turned on.
  • Fixed an issue with trailing slashes in allowed basedirs. They were ignored by open_basedir checks, so that specified basedirs were handled as prefixes and not as full directory names.
  • Fixed an issue with calling virtual() on Apache 2. This allowed bypassing of certain configuration directives like safe_mode or open_basedir.
  • Updated to the latest pcrelib to fix a possible integer overflow vulnerability announced in CAN-2005-2491.
This release also fixes 35 other defects, where the most important is the the fix that removes a notice when passing a by-reference result of a function as a by-reference value to another function. (Bug #33558).

Changes:
  • Added missing safe_mode checks for image* functions and cURL.
  • Added missing safe_mode/open_basedir checks for file uploads.
  • Fixed a memory corruption bug regarding included files.
  • Fixed possible INI setting leak via virtual() in Apache 2 sapi.
  • Fixed possible crash and/or memory corruption in import_request_variables().
  • Fixed potential GLOBALS overwrite via import_request_variables().
  • Fixed possible GLOBALS variable override when register_globals are ON.
  • Fixed possible register_globals toggle via parse_str().
  • Added "new_link" parameter to mssql_connect(). Bug #34369.
  • Fixed bug #34850 (--program-suffix and --program-prefix not included in man page names).
  • Fixed bug #34790 (preg_match_all(), named capturing groups, variable assignment/return => crash).
  • Fixed bug #34742 (ftp wrapper failures caused from segmented command transfer).
  • Fixed bug #34704 (Infinite recursion due to corrupt JPEG).
  • Fixed bug #34645 (ctype corrupts memory when validating large numbers).
  • Fixed bug #34565 (mb_send_mail does not fetch mail.force_extra_parameters).
  • Fixed bug #34557 (php -m exits with "error" 1).
  • Fixed bug #34456 (Possible crash inside pspell extension).
  • Fixed bug #34311 (unserialize() crashes with chars above 191 dec).
  • Fixed bug #34307 (on_modify handler not called to set the default value if setting from php.ini was invalid).
  • Fixed bug #34302 (date('W') do not return leading zeros for week 1 to 9).
  • Fixed bug #34277 (array_filter() crashes with references and objects).
  • Fixed bug #34191 (ob_gzhandler does not enforce trailing \0).
  • Fixed bug #34156 (memory usage remains elevated after memory limit is reached).
  • Fixed bug #34148 (+,- and . not supported as parts of scheme).
  • Fixed bug #34137 (assigning array element by reference causes binary mess).
  • Fixed bug #34068 (Numeric string as array key not cast to integer in wddx_deserialize()).
  • Fixed bug #34064 (arr[] as param to function is allowed only if function receives argument by reference).
  • Fixed bug #33989 (extract($GLOBALS,EXTR_REFS) crashes PHP).
  • Fixed bug #33987 (php script as ErrorDocument causes crash in Apache 2).
  • Fixed bug #33940 (array_map() fails to pass by reference when called recursively).
  • Fixed bug #33690 (Crash setting some ini directives in httpd.conf).
  • Fixed bug #33673 (Added detection for partially uploaded files).
  • Fixed bug #33648 (Using --with-regex=system causes compile failure).
  • Fixed bug #33558 (Warning with nested calls to functions returning by reference).
  • Fixed bug #33383 (crash when retrieving empty LOBs).
  • Fixed bug #33156 (cygwin version of setitimer doesn't accept ITIMER_PROF).
  • Fixed bug #32937 (open_basedir looses trailing / in the limiter).
  • Fixed bug #32589 (possible crash inside imap_mail_compose() function).
  • Fixed bug #32179 (xmlrpc_encode() segfaults with recursive references).
  • Fixed bug #32160 (copying a file into itself leads to data loss).
  • Fixed bug #31158 (array_splice on $GLOBALS crashes).
  • Fixed bug #29983 (PHP does not explicitly set mime type & charset).
  • Fixed bug #29253 (array_diff with $GLOBALS argument fails).
  • Fixed bug #21306 (ext/sesssion: catch bailouts of write handler during RSHUTDOWN).
[break]De volgende downloads staan klaar:
* Source bz2
* Source tarball
* Windows Installer
* Windows Zipped
Versienummer 4.4.1
Besturingssystemen Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, OS/2, Solaris, UNIX, Windows Server 2003
Website The PHP Group
Download http://www.php.net/downloads.php
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

Feedback • 02-11-2005 09:55 9

02-11-2005 • 09:55

9

Bron: The PHP Group

Update-historie

11-'24 PHP 8.4.1 43
11-'23 PHP 8.3.0 2
07-'23 PHP 8.2.8 / 8.1.21 1
12-'22 PHP 8.2.0 3
11-'21 PHP 8.1.0 38
07-'21 PHP 8.0.9 2
11-'20 PHP 8.0.0 7
12-'16 PHP 7.1.0 47
12-'15 PHP 7.0.0 48
08-'14 PHP 5.6.0 23
Meer historie

Lees meer

PHP

geen prijs bekend

5 van 5 sterren
Systeem- en netwerkutility's Aanvullende componenten

Reacties (9)

-Moderatie-faq
9
9
2
0
0
6
Wijzig sortering
Freezerator 2 november 2005 12:51
Ik heb btw ge-upgrade, en alles werkt prima en geen problemen tegengekomen.

eaccelerator werkt ook prima met 4.4.1

---

Nog een kleine additie:
Squirrelmail en phpadsnew werkt nietmeer na de upgrade, je moet de laatste snapshot gebruiken van 4.4.1

http://bugs.php.net/bug.php?id=35067
_Quinten_ 2 november 2005 10:17
Ze zouden beter een stable php 5.1.0 uitbrengen :P. Mijn host blijft steken op PHP 4.3.11. En ik heb hier thuis op m'n eigen servertje PHP 5.0.5 draaien terwijl phpinfo zegt dat het PHP 5.0.4 is.
skion @_Quinten_2 november 2005 11:15
Dan moet je vast je webserver nog herstarten 8-)
Olaf van der Spek @_Quinten_2 november 2005 11:22
Ze zouden beter een stable php 5.1.0 uitbrengen .
Waarom?
Aan 5.1 wordt gewerkt (rc4 nu), maar dat betekent toch niet dat 4.4 direct gedropped wordt?
Klaus_1250 @_Quinten_2 november 2005 11:26
In mijn ervaring is PHP 4.x.x. nog altijd een stuk meer stable dan 5.x.x. Tot 5.x.x 4.x.x evenaart ben ik toch wel erg blij dat ze (security)fixes uitbrengen voor 4.x.x
Icheb @_Quinten_2 november 2005 11:54
Het kan zijn dat je webhoster wat problemen heeft ondervonden met upgrade naar 4.4.x.

Zo is het bijvoorbeeld zo dat bij hosters met het Direct Admin controle paneel, het mogelijk is dat de server tijdens een upgrade vreemd gedrag gaat vertonen, waardoor een aantal hosters het nog even op de oude versie houden.
(Er wordt in ieder geval wel aan gewerkt, maar het is nog onbekend wat de relatie is tussen het hercompileren van PHP en het wegvallen van de SSH service...)

Hosters met andere controle panelen zouden eigenlijk wel moeten upgraden imho :D
Verwijderd 5 november 2005 00:54
:?

Wordt versie 4 nog gedeveloped? Terwijl 5 uit is?

Blijkbaar wel. Maar waarom?
Cipri @Verwijderd5 november 2005 01:54
Omdat niet iedereen PHP5 heeft/kan upgraden, en er toch fixes voor uitkomen?

MS geeft ook nog support/fixes voor 2K met XP uit.
Verwijderd @Verwijderd5 november 2005 02:15
PHP 5 is niet volledig backwards compatible met PHP 4, het kan dus voor een bedrijf welke een grote infrastructuur heeft en gebruik maakt van PHP 4 een dure klus worden alles te checken en fixen met PHP 5.

Aan de andere kant is stabiliteit en security wel een issue en dus installeren ze wel patches van PHP 4, daar hebben ze van te voren al budget voor gereserveerd.

Daarnaast zijn er nog veel organisaties die PHP 5 nog niet als zijnde 'stabiel' hebben verklaard. Een van die organisaties is bijvoorbeeld CPanel.

CPanel is wel al bezig met het ondersteunen van PHP 5, maar bieden nog geen automatische upgrade functie aan. En wanneer men zelf PHP 5 installeert wordt er ook maar beperkt support gegeven. Ikzelf heb op een aantal CPanel servers al PHP 5 geinstalleerd zonder problemen, maar blijkbaar zijn er toch genoeg problemen dat CPanel het nog tegenhoudt.

Wanneer PHP 5 wat verder doorontwikkelt wordt en meer voordelen tov PHP 4 gaat bieden gaan mensen vanzelf upgraden.

De overstap van PHP 3 naar PHP 4 was ook niet van de ene op de andere dag.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq