PHP 4.4.7 發佈公告 (PHP 4.4.7 版本發佈公告)

PHP 開發團隊在此宣布 PHP 4.4.7 版本正式發佈。此版本持續改進 4.4 分支的安全性及穩定性，強烈建議所有使用者儘快升級至此版本。(PHP 開發團隊在此宣佈 PHP 4.4.7 版本正式發佈。此版本持續改進 4.4 分支的安全性及穩定性，強烈建議所有用戶儘快升級至此版本。)

PHP 4.4.7 的安全性增強和修復 (PHP 4.4.7 的安全性增強和修復)

• 已修復 CVE-2007-1001，GD wbmp 使用無效的影像大小 (由 Ivan Fratric 修復) (已修復 CVE-2007-1001，GD wbmp 使用無效的圖像大小 (由 Ivan Fratric 修復))
• 已修復 mail() 內部的 asciiz 位元組截斷問題 (MOPB-33，由 Stefan Esser 修復) (已修復 mail() 內部的 asciiz 位元組截斷問題 (MOPB-33，由 Stefan Esser 修復))
• 已修復 mb_parse_str() 中的一個錯誤，該錯誤可能被用來啟用 register_globals (MOPB-26，由 Stefan Esser 修復) (已修復 mb_parse_str() 中的一個錯誤，該錯誤可能被用來啟用 register_globals (MOPB-26，由 Stefan Esser 修復))
• 已修復 array_user_key_compare() 中的未分配記憶體存取/雙重釋放問題 (MOPB-24，由 Stefan Esser 修復) (已修復 array_user_key_compare() 中的未分配內存訪問/雙重釋放問題 (MOPB-24，由 Stefan Esser 修復))
• 已修復 session_regenerate_id() 內部的雙重釋放問題 (MOPB-22，由 Stefan Esser 修復) (已修復 session_regenerate_id() 內部的雙重釋放問題 (MOPB-22，由 Stefan Esser 修復))
• 已將遺漏的 open_basedir 和 safe_mode 檢查新增到 zip:// 和 bzip:// 包裝器中。(MOPB-21，由 Stefan Esser 修復)。(已將遺漏的 open_basedir 和 safe_mode 檢查添加到 zip:// 和 bzip:// 包裝器中。(MOPB-21，由 Stefan Esser 修復)。)
• 使用 max_input_nesting_level 限制輸入變數的巢狀層級，以修復 (MOPB-03，由 Stefan Esser 修復) (使用 max_input_nesting_level 限制輸入變數的嵌套級別，以修復 (MOPB-03，由 Stefan Esser 修復))
• phpinfo() 中的 XSS 漏洞（MOPB-8，由 Stefan Esser 發現）
• 修復了 ftp_putcmd() 內的 CRLF 注入漏洞。（由 loveshell[at]Bug.Center.Team 發現）
• 修復了 import_request_variables() 內可能發生的超級全域變數覆寫漏洞。（由 Stefano Di Paola、Stefan Esser 發現）
• 修復了內建 libxmlrpc 函式庫中一個可被遠端觸發的緩衝區溢位漏洞。（由 Stanislav Malyshev 發現）

雖然上述大多數問題都屬於本地漏洞，但少數問題（例如 XML-RPC 溢位）可以被遠端觸發，因此應視為嚴重漏洞。如果您使用 XML-RPC 擴充功能，請盡快升級。

PHP 4.4.7 的其他改進包括：

• 約 10 個錯誤修正。

有關 PHP 4.4.7 的完整變更清單，請參閱變更記錄。