Abort on missing IV if the enc_mode requires it

Previously the code fell back on using a NUL IV if no IV was
passed and the encryption mode required it. This is dangerous and
makes no sense from a practical point of view (as you could just
as well use ECB then).

Abort on invalid IV size

Previously, if the size of the IV did not match the block size
mcrypt would throw a warning and fall back to a NUL IV. This
behavior is both dangerous and makes no practical sense.

mcrypt_encrypt etc. will now return false if the IV has an incorrect
size.

NEWS

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  NEWS
  Fixed Bug #66815 imagecrop(): insufficient fix for NULL defer CVE-2013-7327

NEWS

Fixed Bug #66815 imagecrop(): insufficient fix for NULL defer CVE-2013-7327

This amends commit 8f4a537, which aimed to correct NULL dereference because of
missing check of gdImageCreateTrueColor() / gdImageCreate() return value.  That
commit checks for negative crop rectangle width and height, but
gdImageCreate*() can also return NULL when width * height overflows.  Hence
NULL deref is still possible, as gdImageSaveAlpha() and gdImagePaletteCopy()
is called before dst == NULL check.

This moves NULL check to happen right after gdImageCreate*().  It also removes
width and height check before gdImageCreate*(), as the same check is done by
image create functions (with an extra warning).

From thoger redhat com

fix merge

NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  NEWS
  Fixed Bug #66820 out-of-bounds memory access in fileinfo

NEWS

Fixed Bug #66820 out-of-bounds memory access in fileinfo

Upstream fix:
https://github.com/glensc/file/commit/447558595a3650db2886cd2f416ad0beba965801

Notice, test changed, with upstream agreement:
-define OFFSET_OOB(n, o, i) ((n) < (o) || (i) >= ((n) - (o)))
+define OFFSET_OOB(n, o, i) ((n) < (o) || (i) >  ((n) - (o)))

fix merge

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Improves fix for memory leak, keep in sync with upstream.

Improves fix for memory leak, keep in sync with upstream.

Previous fix:
http://git.php.net/?p=php-src.git;a=commitdiff;h=10eb0070700382f966bf260e44135e1f724a15d2

Upstream fix:
https://github.com/glensc/file/commit/c0c0032b9e9eb57b91fefef905a3b018bab492d9

Add notice about tsrm_virtual_cwd.h moved to zend_virtual_cwd.h
as this introduce need for awfull hacks...

Fixed NEWS for #60602

Merge branch 'PHP-5.5' into PHP-5.6

Fixed news for #60602

Merge branch 'PHP-5.4' into PHP-5.5

Updated news for #60602

proc_open(): separate environment values that aren't strings

Added a test case

Added DateTimeImmutable::createFromMutable.

Sort alphabetically

Fixed NEWS.

Capture peer cert even if verify fails

Previously the "capture_peer_cert" SSL context option only
captured the peer's certificate if the verification routine
succeeded.

By also capturing the on verify failure applications have the
ability to parse the cert and ask users whether they wish to
proceed given the information presented by the peer.

Windows cert verify improvements + leak fixes

- Clean up properly at all fail points in native Windows peer
  verification routine
- Bring certificate usages and chain flags into line with chromium
  implementation in windows environments

turn off some false positives

support for static analyzers other than visual studio

fix wording

Merge branch 'PHP-5.6' of git.php.net:php-src into PHP-5.6

reveal more info on the configure options

Updated news for #66535 and #66109

Updated news for #66535 and #66109

Updated NEWS for #66535

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  don't compare constants on run time

don't compare constants on run time

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  substr_compare(): Allow zero length comparison

substr_compare(): Allow zero length comparison

Treat zero length comparison as always equal.

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  Fixed test case title
  [bug 66535] X-PHP-Originating-Script adds newline if no custom headers are given

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Fixed test case title
  [bug 66535] X-PHP-Originating-Script adds newline if no custom headers are given

Fixed test case title

[bug 66535] X-PHP-Originating-Script adds newline if no custom headers are given

A newline is added to the mail headers when mail.add_x_header is used and no other headers are passed to mail().

The scenario in which custom headers are used was already fixed in #48620, back in 2009.

Merge branch '5.5' into 5.6

* 5.5:
  Fixed expected output of a few cURL test cases
  Allow NULL as value for CURLOPT_CUSTOMREQUEST option.

Fixed expected output of a few cURL test cases

Allow NULL as value for CURLOPT_CUSTOMREQUEST option.

Added test case.

Refactored the code to isolate the string handling. Fixed return values to use SUCCESS and FAILURE.

Removed unused error variable.

Indentation fix.
Removed the ugly goto.

primitive test fixes

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  man page: long option name is --strip, not --stripped
  --global have be removed in 5.2

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  man page: long option name is --strip, not --stripped
  --global have be removed in 5.2

man page: long option name is --strip, not --stripped

--global have be removed in 5.2

remove pcntl leftover from the test code

list the fpm change hat rfc in UPGRADING

mention the apparmor support in fpm

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  typo spotted by Lajos Veres

typo spotted by Lajos Veres

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  update libs_version.txt

Conflicts:
win32/build/libs_version.txt

update libs_version.txt

update libs_version.txt

NEWS

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  NEWS
  NEWS
  test for bug #66762
  Fixed Bug #66762 Segfault in mysqli_stmt::bind_result() when link closed

NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  NEWS
  test for bug #66762
  Fixed Bug #66762 Segfault in mysqli_stmt::bind_result() when link closed

NEWS

test for bug #66762

Fixed Bug #66762 Segfault in mysqli_stmt::bind_result() when link closed

Each new mysqli_stmt now increase the refcount of the link object.
So the link is really destroy after all statements.

Only implemented with libmysqlclient, as mysqlnd already implement
this internally.

So, libmysqlclient and mysqlnd have the same behavior.

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  fix tests broken by 633f898f1520253d3530fe91fc82f68bca7c4627

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  fix tests broken by 633f898f1520253d3530fe91fc82f68bca7c4627

fix tests broken by 633f898f1520253d3530fe91fc82f68bca7c4627

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

Merge branch 'curlClosePolicy' of https://github.com/DaveRandom/php-src into PHP-5.6

* 'curlClosePolicy' of https://github.com/DaveRandom/php-src:
  Remove cURL close policy related constants

Deprecate CN_match in favor of peer_name in SSL contexts

Remove cURL close policy related constants

These options don't do anything and they never have.

Refs:
  http://curl.haxx.se/libcurl/c/curl_easy_setopt.html#CURLOPTCLOSEPOLICY
  http://curl.haxx.se/mail/lib-2006-11/0301.html

Update stack size in tests/func/010.phpt

Stack size is 16K nowadays. Now the test takes a more reasonable
amount of time to run...

Don't add num_additional_args in SEND opcodes

Now that trailing positional args are disallowed,
num_additional_args will always be zero in SEND opcodes (and
FUNC_ARG fetches).

Disallow use of positional args after unpacking

This commit disallows the use of trailing positional arguments
after argument unpacking was used. The following calls are no
longer valid:

    fn(...$array, $var);
    fn(...$array1, $var, ...$array2);

However, all of the following continue to be valid:

    fn($var, ...$array);
    fn(...$array1, ...$array2);
    fn($var, ...$array1, ...$array2);

The reason behind this change is a stack allocation issue pointed
out by Dmitry: As of PHP 5.5 the stack necessary for pushing
arguments is precomputed and preallocated, as such the individual
SEND opcodes no longer verify that there is enough stack space.
The unpacked arguments will occupy some of that preallocated
space and as such following positional arguments could write past
a stack page boundary.

An alternative resolution for this issue is to ensure that there
is enough space for the remaining arguments in the UNPACK opcode.
However making this allocation precise (rather than using a
conversative over-estimate) would require some effort. Given that
this particular aspect of the feature wasn't very popular in the
first place, it doesn't seem worth the effort.

Store arg_num in fcall entry

Instead of storing the argument number in the znode of the parameter
list, store it in fcall->arg_num. This mainly cleans up the parameter
parsing code, which previously had to duplicate all rules (this
becomes more excessive as more features are added, e.g. named params
would already require a minimum of 14 rules...)

Introduce zend_function_call_entry structure

Instead of directly pushing the zend_function* onto the
function_call_stack, push this structure. This allows us to store
additional data on this stack.

move the default encoding NEWS entry to alpha3, as it was pushed after beta2 was tagged

rearrange the NEWS blocks a bit

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  add news entry
  add news entry
  add clear_env option to FPM config
  add clear_env option to FPM config
  Reduce test noise on cross Oracle client <-> server version tests. This fix is already in PHP 5.6+
  Reduce test noise in cross Oracle client <-> server version testing. This change is already in PHP 5.6+

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  add news entry
  add clear_env option to FPM config

add NEWS block for 5.6.0 beta1

restored that test part in ext/openssl to enable notify/wait

remove echo

fix stdin reading in new openssl tests

kick redundant include

this is already present from php.h

Prevent implicit function declaration when TLSEXT unavailable

Update NEWS+UPGRADING (openssl)

Remove test case invalidated by openssl.cafile accessibility change

Merge branch 'windowsPeerVerification' of https://github.com/DaveRandom/php-src into PHP-5.6

* 'windowsPeerVerification' of https://github.com/DaveRandom/php-src:
  Update openssl tests with new server/client test harness
  Add peer certificate verification on windows

Tolerate non-standard newlines when parsing stream CA files

Remove openssl tests that shouldn't have survived last merge

These are .phpt files I meant to remove with the last batch as
the same functionality is now covered in other tests and these
are no longer needed.

Add openssl.cafile ini check when loading cainfo

Change openssl directives to PHP_INI_PERDIR

Because openssl.cafile and openssl.capath have implications for
security these directives have been changed to PHP_INI_PERDIR
(previously PHP_INI_ALL)