PHP 4.3.10 版本发布公告

[ 法语版 ]

PHP 开发团队欣然宣布立即发布 PHP 4.3.10。这是一个维护版本，除了修复了 30 多个非关键性错误外，还解决了几个非常严重的安全性问题。

这些问题包括：

CAN-2004-1018 - shmop_write() 越界内存写入访问。
CAN-2004-1018 - pack() 和 unpack() 函数中的整数溢出/下溢。
CAN-2004-1019 - 反序列化代码中可能的信息泄露、双重释放和负引用索引数组下溢。
CAN-2004-1020 - addslashes() 未正确转义 \0。
CAN-2004-1063 - safe_mode 执行目录绕过。
CAN-2004-1064 - 通过路径截断进行任意文件访问。
CAN-2004-1065 - exif_read_data() 在长节名上溢出。
magic_quotes_gpc 可能导致文件上传时出现一级目录遍历。

强烈建议所有 PHP 用户尽快升级到此版本。

错误修复版本

除了上述问题外，此版本还包含以下重要修复：

• ftp_get() 内部可能崩溃。
• get_current_user() 在 Windows 上崩溃。
• ctype_digit() 在大数字上可能崩溃。
• 解析 ?getvariable[][ 时崩溃。
• curl_getinfo() 函数可能崩溃。
• openssl_csr_new 失败时双重释放。
• 使用未知/不支持的 session.save_handler 和/或 session.serialize_handler 时崩溃。
• 防止 URL 重定向中的无限递归。
• 确保删除 GD 创建的临时文件。
• fgetcsv() 在长度为负数时崩溃。
• 改进 foreach() 结构的性能。
• 改进非英语语言环境下的数字处理。

有关 PHP 4.3.10 中所有更改的完整列表，请参阅 ChangeLog。