NEWS entry for: Upgrade bundled sqlite to 3.8.10.2

Includes fixes for CVE-2015-3414, CVE-2015-3415, CVE-2015-3416

Upgrade bundled sqlite to 3.8.10.2

Includes fixes for CVE-2015-3414, CVE-2015-3415, CVE-2015-3416 done in 3.8.9

Add CVE used in PHP 5.4.39, 5.4.40, 5.4.41

Add CVE to #68598

improve fix for Bug #69545

Update PCRE version (bug #69689)

move test

NEWS 5.4

fix new test

Fixed Bug #69667 segfault in php_pgsql_meta_data

Incomplete fix for #68741

5.4.42 next

fix format

update NEWS

Add test for bug #69522

Update tests

Fix bug #69522 - do not allow int overflow

Forgot test file

Fix bug #69403 and other int overflows

Fixed bug #69418 - more s->p fixes for filenames

Fixed bug #69364 - use smart_str to assemble strings

Fix bug #69453 - don't try to cut empty string

Fix bug #69545 - avoid overflow when reading list

Upgrade to PCRE 8.37 due to various bugfixes

fix VC9 build with PCRE

Upgrade PCRE to 8.36, it fixes some crashes

We probably will need to go to 8.37 once it is released.

phpweb now publishes SHA256s -- and please don't cc php-announce@ - make it seperate mail

Fixed res leak

Fixed recently introduced memory leak

fix non-standard C

5.4.41 next

Merge branch 'PHP-5.4.40' into PHP-5.4

* PHP-5.4.40:
  update NEWS
  Fix bug #69441 (Buffer Overflow when parsing tar/zip/phar in phar_set_inode)
  fix memory leak & add test
  Fix tests
  fix CVE num
  Fix bug #69337 (php_stream_url_wrap_http_ex() type-confusion vulnerability)
  Fix test
  Additional fix for bug #69324
  More fixes for bug #69152
  Fixed bug #69353 (Missing null byte checks for paths in various PHP extensions)
  Fixed bug #69324 (Buffer Over-read in unserialize when parsing Phar)
  Fixed bug #69316 (Use-after-free in php_curl related to CURLOPT_FILE/_INFILE/_WRITEHEADER)
  Fix bug #68486 and bug #69218 (segfault in apache2handler with apache 2.4)
  Fix bug #68819 (Fileinfo on specific file causes spurious OOM and/or segfault)

fix CVE num

update NEWS

Merge branch 'PHP-5.4' into PHP-5.4.40

* PHP-5.4:
  fix CVE num

Fix bug #69441 (Buffer Overflow when parsing tar/zip/phar in phar_set_inode)

fix type in fix for #69085

fix memory leak & add test

Fix tests

fix CVE num

Fix bug #69337 (php_stream_url_wrap_http_ex() type-confusion vulnerability)

Fix test

Additional fix for bug #69324

Not so happy about duplication but needed due to bug #69429

More fixes for bug #69152

Fixed bug #69353 (Missing null byte checks for paths in various PHP extensions)

Fixed bug #69324 (Buffer Over-read in unserialize when parsing Phar)

Fixed bug #69316 (Use-after-free in php_curl related to CURLOPT_FILE/_INFILE/_WRITEHEADER)

Fix bug #68486 and bug #69218 (segfault in apache2handler with apache 2.4)

Fix bug #68819 (Fileinfo on specific file causes spurious OOM and/or segfault)

Fixed bug #68901 (use after free)

Fixed bug #68740 (NULL Pointer Dereference)

(cherry picked from commit 124fb22a13fafa3648e4e15b4f207c7096d8155e)

Fix bug #66550 (SQLite prepared statement use-after-free)

Better fix for #68601 for perf
https://bitbucket.org/libgd/gd-libgd/commits/81e9a993f2893d651d225646378e3fd1b7465467

Fix bug #68601 buffer read overflow in gd_gif_in.c

Revert "Merge branch 'PHP-5.4' of https://git.php.net/repository/php-src into PHP-5.4"

This reverts commit fe0ca2745f00940a27bfc8e87db534541a19af70, reversing
changes made to 968fbc6acf0bc27be17c0209be7f966e89a55943.

Fixed bug #69293

Merge branch 'PHP-5.4' of https://git.php.net/repository/php-src into PHP-5.4

Bacport fix bug #68741 - Null pointer dereference

Check that the type is correct

add CVEs

Fixed bug #69152

5.4.40 next

Fix bug #69253 - ZIP Integer Overflow leads to writing past heap boundary

Fix bug #69248 - heap overflow vulnerability in regcomp.c

Merged from https://github.com/garyhouston/regex/commit/70bc2965604b6b8aaf260049e64c708dddf85334

add test for bug #68976

Fixed bug #68976 - Use After Free Vulnerability in unserialize()

Fixed bug #69134 (Per Directory Values overrides PHP_INI_SYSTEM configuration options)

fix tests

Fix bug #69207 - move_uploaded_file allows nulls in path

Merge branch 'arginfo' of https://github.com/realityking/php-src into PHP-5.4

Added type checks

Added type checks

Check variable type before its usage as IS_ARRAY.

Fixed a bug that header value is not terminated by '\0' when accessed through getenv().

fix typo in bug#

add CVE

5.4.39 next

Port for for bug #68552

Fix bug #68942 (Use after free vulnerability in unserialize() with DateTimeZone)

Conflicts:
ext/date/php_date.c

- BFN

- Fixed bug #67827 (broken detection of system crypt sha256/sha512 support)

- Fixed bug #67427 (SoapServer cannot handle large messages) patch by: brandt at docoloc dot de

Update NEWS

Add NULL byte protection to exec, system and passthru

Fixed #68790 (Missing return)

Update header handling to RFC 7230

fix sizeof size

fix TSRM

Use better constant since MAXHOSTNAMELEN may mean shorter name

use right sizeof for memset

Add mitigation for CVE-2015-0235 (bug #68925)

fix some factual errors in the process

format

add CVE

add protection against nulls

5.4.38 next

Merge branch 'bug68710' into PHP-5.4

* bug68710:
  Fix for bug #68710 (Use After Free Vulnerability in PHP's unserialize())

Merge branch 'bug68799' into PHP-5.4

* bug68799:
  Fix bug #68799: Free called on unitialized pointer

Update NEWS

Fixed bug #55618 (use case-insensitive cert name matching)

Fix bug #68799: Free called on unitialized pointer