PHP 4.4.5 版本發佈公告

PHP 開發團隊很高興宣佈 PHP 4.4.5 版本正式發佈。此版本是 4.4.X 分支的穩定性和安全性增強版本，強烈建議所有使用者儘快升級。

PHP 4.4.5 的安全性增強與修正

• 修正了 session 擴充功能中可能存在的 safe_mode & open_basedir 繞過問題。
• 修正了在 64 位元系統上使用特定輸入字串時可能發生的 unserialize() 濫用問題。
• 修正了 session 擴充功能中可能發生的溢位和堆疊損壞問題。
• 修正了內部 sapi_header_op() 函式中的一個下溢問題。
• 修正了 zip & imap 擴充功能中可能發生的溢位問題。
• 修正了 shmop 擴充功能中未經驗證的資源銷毀問題。
• 修正了 str_replace() 函式中可能發生的溢位問題。
• 修正了在多個程式碼路徑中可能發生的超級全域變數覆寫問題。
• 修正了 wddx 擴充功能中可能發生的資訊洩露問題。
• 修正了在 64 位元系統上 *print() 函式中可能發生的字串格式漏洞。
• 修正了 ibase_{delete,add,modify}_user() 函式中可能發生的緩衝區溢位問題。
• 修正了 odbc_result_all() 函式中的字串格式漏洞。
• 修正了 Windows 上 mail() 函式中可能發生的緩衝區溢位問題。

大多數發現並解決的安全性漏洞在大多數情況下只能被本地使用者濫用，而無法遠端觸發。但是，在某些情況下，上述某些問題可能會被遠端觸發，或者被共享主機設定上使用 PHP 作為 Apache 模組的惡意本地使用者利用。因此，我們強烈建議所有 PHP 使用者，無論版本為何，都應儘快升級到 4.4.5 版本。具有同等安全性修正的 PHP 5.2.1 版本也可用。

除了安全性修正之外，此版本還包含許多非安全性相關的錯誤修正。

如需 PHP 4.4.5 中變更的完整清單，請參閱變更記錄。