PHP 4.3.10 版本发布公告

[ 英文版 ]

PHP 开发团队欣然宣布发布 PHP 4.3.10。这是一个维护版本，修复了大约三十个非关键性错误以及一些严重的安全性问题。

这包括：

CAN-2004-1018 - shmop_write() 函数写入内存越界。
CAN-2004-1018 - pack() 和 unpack() 函数存在缓冲区溢出。
CAN-2004-1019 - 数据解串时，负索引缓冲区溢出可能导致信息泄露。
CAN-2004-1020 - addslashes() 函数未能正确转义 \0 字符。
CAN-2004-1063 - 可绕过执行目录指令。
CAN-2004-1064 - 通过截断访问任意文件。
CAN-2004-1065 - exif_read_data() 函数在长节名称情况下存在缓冲区溢出。
magic_quotes_gpc 可能导致通过文件上传读取目录。

强烈建议所有用户升级到此版本。

Bug 修复版本

除了上述功能外，PHP 4.3.9 还包含以下错误修复、新增功能和改进：

• ftp_get() 函数可能导致崩溃。
• get_current_user() 函数在 Windows 上崩溃。
• ctype_digit() 函数处理大数字时可能导致崩溃。
• 解析 ?getvariable[][ 时可能导致崩溃。
• curl_getinfo() 函数可能导致崩溃。
• openssl_csr_new() 函数失败时发生双重释放。
• 使用不支持的 session.save_handler 和/或 session.serialize_handler 时可能导致崩溃。
• 避免 URL 重定向时的无限递归。
• 确保正确删除 GD 临时文件。
• fgetcsv() 函数在负大小参数下崩溃。
• foreach() 函数性能改进。
• 改进非英文本地化配置的支持。

有关 PHP 4.3.10 的完整变更列表，请参阅英文版的 变更日志。