L'équipe de développement de PHP a annoncé le 01 mai 2008 la sortie de PHP 5.2.6. Cette version a pour but d'améliorer la stabilité de la branche 5.2.x avec la correction de 120 bugs dont plusieurs concernant la sécurité.
Parmi les correctifs de sécurité, on notera :
- Correction d'une possibilité de stack buffer overflow dans FastCGI SAPI.
- Correction d'une possibilité d'overflow des entiers dans la fonction printf().
- Correction d'un contournement du safe_mode dans cURL.
- Correction de la gestion des séquences incomplètes dans la fonction escapeshellcmd().
- Mise à niveau de PCRE à la version 7.6
Les corrections importantes concernent entre autres :
- Correction de possibles crashs dans l'extension POSIX.
- Diminution de l'utilisation de mémoire de la concatenation avec "." au lieu de ".=".
- Correction de la possibilité d'appeller un constructeur privé dans une fonction statique.
- Correction d'une possibilité de boucle infinie dans bz2_filter.c.
- Correction de fuites de mémoire dans quelques fonctions lors de l'appel de __toString().
- Correction de crashs lors de l'utilisation de __get et __set.
- Correction de crashs dans pdo_pgsql.
- Correction de l'utilisation de la méthode __call() lorsque elle est appelée sur un parent d'une classe enfant.
- Correction de crashs dans la méthode xmlrpc_server_call_method().
- Correction de fuites de mémoire lors de conversion implicite.
- Correction de problèmes de mémoire dans SimpleXML.
La liste complète des modifications apportées par PHP 5.2.6 est disponible dans le changelog.
PHP 5.2.6 Release Announcement
Télécharger PHP 5.2.6