L'équipe de développement de PHP annonce la disponibilité immédiate de PHP 5.2.3. Cette version continue d'améliorer la sécurité et la stabilité de la branche PHP 5.x, et corrige en même temps 2 régressions introduites dans les versions précédentes. Ces régressions sont liées concernent les délais d'expiration avec les connexions non-SSL, et l'absence de HTTP_RAW_POST_DATA dans certaines conditions. Tous les utilisateurs sont encouragés à passer à ces versions aussitôt que possible.

Plus de détails sur la version 5.2.3 sont disponibles dans l'annonce finale de la version 5.2.3, mais la liste complète des modifications et corrections est notée dans le Changelog.

Améliorations de sécurité et corrections de PHP 5.2.3 :
- Correction d'un dépassement de capacité entier avec chunk_split() (par Gerhard Wagner, CVE-2007-2872)
- Correction d'une boucle infinie dans imagecreatefrompng. (par Xavier Roche, CVE-2007-2756)
- Correction d'une vulnérabilité email dans ext/filter (MOPB-45 by Stefan Esser, CVE-2007-1900)
- Correction du bogue #41492 (contournement de open_basedir/safe_mode avec realpath()) (par bugs point php point net chez chsc point dk)
- Amélioration de la correction pour CVE-2007-1887 : elle fonctionne avec les sqlite2 lib non-distribuée.
- Ajout de mysql_set_charset() pour permettre la correction de l'encodage de connexion.

Pour les utilisateurs passant à PHP 5.2. depuis PHP 5.0 et 5.1, un guide de mise à jour est disponible : il détaille les modifications entre ces versions et la 5.2.3.

- PHP
- L'annonce de PHP 5.2.3
- Téléchargement PHP 5.2.3
- Changelog of PHP 5
- Guide de migration

Le Fedora Project, sponsorisé par l'éditeur Red Hat, annonce aujourd'hui la sortie de la version 7 de la distribution Fedora, son système d'exploitation libre et gratuit. Basé sur le noyau Linux 2.6.21, celui-ci embarque les technologies de virtualisation KVM (Kernel-based Virtual Machine) et Qemu, ainsi qu'un ensemble d'applications libres et gratuites, à commencer par le navigateur Firefox. Elle intègre également, au choix, les environnements de bureau Gnome 2.18 et KDE 3.5.6. Enfin, pour la première fois, le Fedora Projet garantit la prise en charge de son système par la console Playstation 3.

Fedora 7 est accompagné du thème "Flyinh High", mis à jour pour l'occasion, d'une nouvelle couche Firewire ainsi que de "Nouveau", une première ébauche de pilotes open source pour cartes graphiques Nvidia. Le Fedora Project précise enfin que la distinction entre Fedora Core et Fedora Extras n'est plus d'actualité. Le système intègre une plateforme de développement, et permet à tout un chacun de créer sa propre image du système, sur CD, DVD ou clé USB, afin de disposer d'un Fedora personnalisé selon ses besoins.

Interrogé par Infoworld sur la compétition qui oppose Fedora à Ubuntu, Max Spevack, responsable du Fedora Project, explique qu'Ubuntu tente de répondre à tous les besoins en multipliant les versions de son système, allant jusqu'à des marchés de niche, alors que Fedora ambitionne d'accompagner l'utilisateur dans la création de son propre système de niche.

OWASP publie son tableau annuel des vulnérabilités des applications Web. C'est un tableau qui recense les vulnérabilités les plus courantes, ainsi que les outils de base pour se prémunir contre ces problèmes. L'objectif est de donner aux développeurs une liste de vérification pour produire du code sécuritaire.

Ce tableau est mis à jour tous les ans, car les systèmes de détection de vulnérabilité évoluent chaque année, et même après avoir protéger votre code, vous pourriez être vulnérables à une nouvelle attaque quelque mois après.

La plus grande menace est XSS, qui n'affecte pas PHP ni MySQL mais les utilisateurs des applications. PHP apparait dans la deuxième catégorie des injections (cela couvre les injections SQL, LDAP, XPath, XSLT, HTML, XML, système, etc.).

- Top 10 2007
- Top 10 2007 : Where to Go From Here

La bibliothèque PDO est un progrès considérable pour PHP.
Elle brille particulièrement lorsqu'il faut mettre en place des applications capables de communiquer avec différentes bases de données. Mais elle possède d'autres fonctionnalités pratiques.

Cet article, le premier d'une série de trois, vous emmène dans le monde merveilleux de cette bibliothèque.

- Using PDO Objects in PHP 5

C'est le fond du message de Jeremiah Grossman, dans son billet du jour.

Les humains sont capables d'analyser une application pour ses fonctionnalités de haut niveau, dépendantes du contexte. Les analyseurs sont capables de vérifier les problèmes techniques, de manière exhaustive. Dans 47% des cas, les analyseurs automatiques et les humains découvrent des vulnérabilités que l'autre ne trouve pas.

Il reste donc beaucoup d'innovation en perspective pour améliorer la sécurité.

- What scanners can and can't find. Who cares and why does it matter ?