Scriptorama.nl

Het is een ware update-mania vandaag in software land. Zowel Firefox, Mysql, Apache als PHP komen met nieuwe versies van hun software. Een overzichtje.

Update 03/05/2006: informatie over de security fix die de Firefox 1.5.0.3 release nodig maakte.

Security update voor FireFox: versie 1.5.0.3

Tweakers.net rapporteert dat een nieuwe update voor Firefox beschikbaar is. De aankondiging staat nog niet op Mozilla.org dus we moeten nog eventjes wachten voor de volledige informatie. Ben je nu toch niet meer te houden dan kun je e.e.a. downloaden vanaf releases.mozilla.org.

De ontwikkelaars van Mozilla Firefox hebben zojuist de binary's van versie 1.5.0.3 beschikbaar gesteld. De update is via deze server te downloaden in een groot aantal talen voor onder meer Linux, Windows en Mac OS X. Wat er precies veranderd is in Firefox 1.5.0.3 is nog niet bekend. Wel zou er in deze versie een security bug opgelost zijn met betrekking tot een exploit in de JavaScript-afhandeling van de browser. Ook wordt het aangeraden om pas te updaten naar deze versie als de aankondiging officieel de deur uit is, omdat er op het laatste moment nog een kritieke bug gevonden kan worden.

Update 03/05/2006: De kritieke bug waar Tweakers.net het overhad is een Javascript probleem bij het gebruik van "designMode" (denk aan WYSIWYG editors):

A weakness has been discovered in Firefox, which can be exploited by malicious people to cause a DoS (Denial of Service).

The weakness is caused due to an error in the handling of unexpected "contentWindow.focus()" JavaScript calls. This can be exploited to corrupt the memory and cause a crash by calling the "contentWindow.focus()" method on a container with specially crafted content.

Er wordt ook gezegd dat er zeer creatievelingen misschien wel een weg kunnen vinden om eigen code uit te voeren via dit lek. Meer informatie hierover vind je bij Mozilla zelf of bij Secunia.

Security updates en wijzingen voor PHP 5.1.3

De nieuwe, lang verwachtte versie van de PHP 5.1 serie is ook eindelijk uitgebracht. Deze versie lost enkele flink aantal security en potentiele crashes op:

• Disallow certain characters in session names.
• Fixed a buffer overflow inside the wordwrap() function.
• Prevent jumps to parent directory via the 2nd parameter of the tempnam() function.
• Enforce safe_mode for the source parameter of the copy() function.
• Fixed cross-site scripting inside the phpinfo() function.
• Fixed offset/length parameter validation inside the substr_compare() function.
• Fixed a heap corruption inside the session extension.
• Fixed a bug that would allow variable to survive unset().
• Fixed a number of crashes in the DOM, SOAP and PDO extensions.
• Over 120 various bug fixes.

Het is niet alleen een security update, er zijn ook nog wat toevoegingen en wijzigingen aan bestaande functionaliteit:

• Upgraded bunbled PCRE library to version 6.6
• The use of the var keyword to declare properties no longer raises a deprecation E_STRICT.
• FastCGI interface was completely reimplemented.
• Multitude of improvements to the SPL, SimpleXML, GD, CURL and Reflection extensions.

Hier vind je de volledige changelog en downloaden kan hier.

Apache updates voor 1.3, 2.0 en 2.2 series

Ook de ontwikkelaars bij Apache hebben niet stil gezeten. Daar hebben ze maar liefst 3 nieuwe versies uitgegeven:1.3.35, 2.0.58 én 2.2.2. De changelogs voor de verschillende versies vind je hier voor 1.3.35, hier voor 2.0.58 en hier voor 2.2.2. In 1.3.35 en 2.0.58 zijn wat security updates uitgevoerd, terwijl 2.2.2 met recht alleen een bugfix update is.

MySQL komt met MySQL 5.0.21

Als laatste heeft MySQL ook nog een update uitgebracht, welke een waslijst aan bugs oplost. Maar ze hebben ook nog wat functionaliteit toegevoegd en of gewijzigd, al is dat vooral voor de gebruikers van de wat geavanceerdere features van MySQL:

• Security enhancement: Added the global max_prepared_stmt_count system variable to limit the total number of prepared statements in the server. This limits the potential for denial-of-service attacks based on causing the server to run causing the server to run out of memory by preparing huge numbers of statements. The current number of prepared statements is available through the 'prepared_stmt_count' status variable. (Bug#16365: http://bugs.mysql.com/16365)
• NDB Cluster: It is now possible to perform a partial start of a cluster. That is, it is now possible to bring up the cluster without running ndbd --initial on all configured data nodes first. (Bug#18606: http://bugs.mysql.com/18606)
• NDB Cluster: It is now possible to install MySQL with Cluster support to a non-default location and change the search path for font description files using either the --basedir or --character-sets-dir options. (Previously in MySQL 5.0, ndbd searched only the default path for character sets.)
• In result set metadata, the MYSQL_FIELD.length value for BIT columns now is reported in number of bits. For example, the value for a BIT(9) column is 9. (Formerly, the value was related to number of bytes.) (Bug#13601: http://bugs.mysql.com/13601)
• The default for the innodb_thread_concurrency system variable was changed to 8. (Bug#15868: http://bugs.mysql.com/15868)

De hele changelog vind je in deze forum thread en MySQL downloaden doe je hier.

Kortom, heb je vanavond niks te doen, dan kun je altijd nog zo ongeveer je hele toolchain gaan updaten. Leeeeuk ;-)