最新PHP 7.4.32, PHP8.0.24 & PHP8.1.11三个分支发布了新版本
PHP 存在不受控制的递归漏洞,在 PHP 受影响版本内,phar 解压缩器代码将递归解压缩 “quines” gzip 文件,从而导致无限循环。攻击者会利用此漏洞导致服务器资源耗尽。
影响范围:
php@[8.0.0, 8.0.24)
php@[8.1.0, 8.1.11)
php@(-∞, 7.4.31)
对此漏洞,PHP 的三个分支发布了新版本,分别是 7.4.32, 8.0.24 & 8.1.11,更新内容主要是修复错误和安全问题。升级 php 到 7.4.31、8.0.24、8.1.11 或更高版本即可修复。
PHP 7.4.32
此版本解决了特殊构造的 phar 文件的无限递归问题,并阻止了 Host/Secure HTTP header 的变量名称混用的冲突。建议所有使用 PHP 7.4 系列的开发者升级至此版本。
Core:
修复 bug #81726: phar wrapper: 使用 quine gzip 文件时出现的 DOS (CVE-2022-31628)
修复 bug #81727: 不要破坏与具有特定语义含义的变量名称冲突的 HTTP 变量名称 (CVE-2022-31629)
PHP 8.1.11
此版本主要是修复安全问题:
Core:
修复 bug #81726: phar wrapper: 使用 quine gzip 文件时出现的 DOS (CVE-2022-31628)
修复 bug #81727: 不要破坏与具有特定语义含义的变量名称冲突的 HTTP 变量名称 (CVE-2022-31629)
Fixed bug GH-9323 (Crash in ZEND_RETURN/GC/zend_call_function)
Fixed bug GH-9361 (Segmentation fault on script exit #9379).
Fixed bug GH-9447 (Invalid class FQN emitted by AST dump for new and class constants in constant expressions).
PHP 8.0.24
此版本主要是修复安全问题:
Core:
Fixed bug GH-9323 (Crash in ZEND_RETURN/GC/zend_call_function)
Fixed bug GH-9361 (Segmentation fault on script exit #9379).
Fixed bug GH-9407 (LSP error in eval’d code refers to wrong class for static type).
修复 bug #81727: 不要破坏与具有特定语义含义的变量名称冲突的 HTTP 变量名称 (CVE-2022-31629)
- thinkphp6命令行介绍及常规使用
- Layui的table模块导出所有数据,无需修改前后端代码
- 微信H5版使用php Ffmpeg将微信录音amr转mp3
- Layui的upload模块实现多图批量上传,无需修改代码,完美解决方案
- 电商网站商品的推广分销的的流程图
- layui上传插件使用exts属性指定上传文件的后缀名,并过滤掉其他格式的文件(格式过滤)
- 82个常规的前端JavaScript方法封装(1~10)
- 移动端网页开发,viewport的深入理解和使用
- 82个常规的前端JavaScript方法封装(51~60)
- 如何在gitee上提交Pull Request,给他人的项目贡献自己的代码