VivaPHP!

Se descubrió un error en el manejador de eventos POST que afecta las versiones 4.2.0 y 4.2.1 de PHP. En una plataforma x86, el bug puede causar una denegación de servicio (ataque DoS) y en la Solaris, peor aún, el atacante podría ejecautar código arbitrario. Semejante vulnerabilidad mereció el lanzamiento de una nueva versión de PHP: la v4.2.2 disponible ahora.

Sólo para los más acérrimos partidarios de PHP, ya está disponible la primera versión Alpha de la Zend Engine 2 (el corazón detrás de este lenguaje) distribuído con la nada menos "inestable" versión 4.3.0 de desarrollo de PHP. Este cóctel para valientes puede bajarse con sus fuentes y sus binarios para Windows. Zend Engine 2 provee una mucho mejor infraestructura para su integración con tecnologias externas como Java o .Net, entre otras importantes novedades, más información en el sitio de PHP.

El proyecto PHP acaba de anunciar la disponibildad de la primera version Beta del PHP Hypertext Processor para Novell Netware, distribuida a traves del Novell Developer Kit. Esta version esta basada en las fuentes de PHP 4.0.8 y permiten acceder a muchos servicios de Novell como el eDirectory, el sistema de archivos, los volumenes gracias a la extensión UCS.

El proyecto PHP cumplió con su palabra y anunció la versión final de PHP 4.2.0. Sus fuentes ya estan disponibles (tambien binarios para Windows), con más de 100 cambios y correcciones con respecto a su anterior version 4.1.2. Como también te lo adelantáramos, el cambio más grande es que las variables externas (como las de entorno, peticiones HTTP o cookies) ya no son globales, lo que por lo menos significa que muchas aplicaciones necesitarán modificarse para ejecutar correctamente con PHP 4.2.0.

El cuarto Release Candidate de la proxima version 4.2.0 de PHP ya esta disponible, tanto para Linux como para Window$. La novedad mas importante es la adicion de soporte experimental para el reciente Apache 2.0.35, ademas de las correciones de los errores reportados en los RC anteriores. Toda la informacion pertinente a estas versiones preliminares de PHP puede encontrarse en el sitio del Equipo de Calidad Asegurada de este proyecto. El lanzamiento de la version final de PHP 4.2.0 esta planeada para dentro de dos dias: el 22 de Abril del 2002.

La primera Release Candidate del próximo PHP 4.2.0 ya está disponible, tanto para Linux como para Window$. Obviamente no destinado a servidores con aplicaciones críticas, esta versión está destinada a recopilar reportes de errores y quizás sea la última antes de la versión final, planeada para el próximo 22 de Abril.

Varias graves vulnerabilidades que permitían su explotación remota fueron descubiertos en el código para subir archivos de PHP. El problema no está en Apache, como algunos pensaban, sino en los módulos PHP. Las versiones afectadas son las 3.0.18, 4.0.6, 4.0.1 y 4.1.1, para las cuales ya hay disponible un parche. El problema es tan serio que produjo el lanzamiento de PHP 4.1.2 el mismo día que se anunció el bug. Se trata entonces de una actualización más que recomendable, aunque si por algún motivo no podemos realizarla una solución posible es deshabilitar los uploads de archivos (con la opción fileuploads=off_ en el archivo php.ini)..

Apenas poco más de 2 semanas después del lanzamiento de su versión anterior, ayer se anunció PHP 4.1.1 para corregir algunos menores pero molestos errores. El consejo oficial es que la actualización de 4.1.0 a 4.1.1 sólo es necesaria si ya se comenzó a experimentar las consecuencias de alguno de los errores descriptos. No hay ninguna característica nueva ni corrección de seguridad en esta nueva versión. Por el momento, sólo están disponibles las fuentes de PHP 4.1.1, los binarios para Windows serán los próximos en ser liberados.

Finalmente, la versión final 4.1.0 de PHP fué lanzada de ayer (nótese que no se trató de la v4.1.1, como se anunció la semana pasada). Además de las grandes mejoras en la performance de esta nueva versión, el cambio más significativo es que la variables pasadas desde un formulario ya no son globales. Por el momento, ésto es compatible con el código escrito para las versiones anteriores, pero eventualmente dejará de ser así.

Según nos dice el número del 3/12/2001 de la PHP Weekly Summary, durante esa semana estubo disponible por un corto momento un tarball con una versión 4.1 de PHP (!), que fué rápidamente removido por "cambios de último momento". En ese reporte nos recuerda que ese no es la versión final de PHP 4.1, que sí estará disponible este mismo mes (!!). Tentativamente, la esta versión final tendrá la denominación 4.1.1 para evitar la confusión con aquella "no oficial". Mientras tanto la última versión de PHP es ahora la 4.1.0RC4 disponible en este momento.