Доступны (http://php.net/archive/2015.php#id2015-02-19-2) корректирующие выпуски языка программирования PHP 5.6.6, 5.5.22 и 5.4.38, в которых устранены две уязвимости и исправлено более 20 ошибок (http://php.net/ChangeLog-5.php). Уязвимость CVE-2015-0235 (https://bugs.php.net/bug.php?id=68925) связана с возможностью (http://www.opennet.dev/opennews/art.shtml?num=41577) проведения атаки GHOST (http://www.opennet.dev/opennews/art.shtml?num=41549) из-за прямой передачи аргументов gethostbyname() в соответствующую функцию Glibc. Уязвимость CVE-2015-0273 (https://bugs.php.net/bug.php?id=68942) вызвана обращением к уже освобождённым областям памяти при декодировании данных DateTimeZone через вызов unserialize(). В новых выпусках также прекращена поддержка многострочных заголовков, объявленных устаревшими в RFC 7230. В функции exec, system и passthru добавлена защита от манипуляций с данными, содержащими символ с нулевым кодом. Из проблем, которые вероятно имеют отношение к безопасности, но явно об этом не заявлено, можно отметить переполнение буфера в функции enchant_broker_request_dict(), двойной вызов функции free для освобождения памяти в расширении Fileinfo, крах FPM при закрытии сокета сервером, обращение к уже освобождённой области памяти в дополнении Phar.
Кроме того, можно отметить публикацию (http://hhvm.com/blog/8537/announcing-a-specification-for-hack) компанией Facebook первого варианта спецификации (https://github.com/hhvm/hack-langspec/blob/master/spec/00-sp...) для языка программирования Hack (http://hacklang.org), который обратно совместим с PHP и расширяет (http://www.opennet.dev/opennews/art.shtml?num=39368) синтаксис PHP поддержкой статической типизации и ряда расширенных возможностей, заимствованных из других языков программирования, таких как обобщения (generics по образу C# и Java), null-значения, коллекции, Lambda-выражения, механизмы асинхронного программирования, составные shape-структуры и средства для переопределения имён типов. Код на языке Hack выполняется с использованием виртуальной машины HHVM (http://hhvm.com/) (HipHop Virtual Machine).
URL: http://php.net/archive/2015.php#id2015-02-19-2
Новость: http://www.opennet.dev/opennews/art.shtml?num=41696