PHP 4.4.5 发布公告

PHP 开发团队宣布立即提供 PHP 4.4.5。此版本是 4.4.X 分支的稳定性和安全增强版本，强烈建议所有用户尽快升级到此版本。

PHP 4.4.5 中的安全增强和修复

• 修复了会话扩展内部可能存在的 safe_mode 和 open_basedir 绕过。
• 修复了 64 位系统上使用某些输入字符串时 unserialize() 的滥用。
• 修复了会话扩展内部可能存在的溢出和堆栈损坏。
• 修复了内部 sapi_header_op() 函数中的下溢。
• 修复了 zip 和 imap 扩展内部可能存在的溢出。
• 修复了 shmop 扩展内部未经验证的资源销毁。
• 修复了 str_replace() 函数中可能存在的溢出。
• 修复了几个代码路径中可能存在的超级全局变量覆盖。
• 修复了 wddx 扩展内部可能存在的信息泄露。
• 修复了 64 位系统上 *print() 函数中可能存在的字符串格式漏洞。
• 修复了 ibase_{delete,add,modify}_user() 函数内部可能存在的缓冲区溢出。
• 修复了 odbc_result_all() 函数内部的字符串格式漏洞。
• 修复了 Windows 上 mail() 函数内部可能存在的缓冲区溢出。

在大多数情况下，发现和解决的大多数安全漏洞只能被本地用户滥用，并且无法远程触发。但是，在某些情况下，上述某些问题可能会被远程触发，或者被恶意本地用户在使用 PHP 作为 Apache 模块的共享主机设置中利用。因此，我们强烈建议所有 PHP 用户，无论版本如何，都应尽快升级到 4.4.5 版本。具有相同安全修复程序的 PHP 5.2.1 也可用。

除了安全修复之外，此版本还包含许多与安全无关的错误修复。

有关 PHP 4.4.5 中所有更改的完整列表，请参阅ChangeLog。