PHP 4.3.10 發佈公告

[ 法文版 ]

PHP 開發團隊在此宣布立即發佈 PHP 4.3.10。這是一個維護版本，除了修正超過 30 個非關鍵錯誤之外，還解決了幾個非常嚴重的安全問題。

這些問題包括：

CAN-2004-1018 - shmop_write() 超出界限的記憶體寫入存取。
CAN-2004-1018 - pack() 和 unpack() 函式中的整數溢位/下溢。
CAN-2004-1019 - 反序列化程式碼中可能存在的資訊洩漏、雙重釋放和負參考索引陣列下溢。
CAN-2004-1020 - addslashes() 未正確跳脫 \0。
CAN-2004-1063 - 安全模式執行目錄繞過。
CAN-2004-1064 - 通過路徑截斷任意檔案存取。
CAN-2004-1065 - exif_read_data() 在長區段名稱上溢位。
magic_quotes_gpc 可能導致檔案上傳時一級目錄遍歷。

強烈建議所有 PHP 使用者盡快升級到此版本。

錯誤修正版本

除了上述問題外，此版本還包含以下重要修正：

• ftp_get() 內可能發生程式當機。
• get_current_user() 在 Windows 上會當機。
• 處理大數字時，ctype_digit() 內可能發生程式當機。
• 解析 ?getvariable[][ 時會當機。
• curl_getinfo() 函式內可能發生程式當機。
• 當 openssl_csr_new 失敗時，會發生雙重釋放 (double free) 的錯誤。
• 使用未知/不支援的 session.save_handler 和/或 session.serialize_handler 時會當機。
• 防止網址重新導向中的無限遞迴。
• 確保 GD 建立的暫存檔案會被移除。
• fgetcsv() 使用負數長度時會當機。
• 提升 foreach() 結構的效能。
• 改進非英語語系環境下的數字處理。

PHP 4.3.10 的完整變更清單，請參閱 變更紀錄。