Merge branch 'PHP-5.5.34' into PHP-5.5

* PHP-5.5.34:
  Fixed bug #71906: AddressSanitizer: negative-size-param (-1) in mbfl_strcut

Fixed bug #71906: AddressSanitizer: negative-size-param (-1) in mbfl_strcut

Fixed bug #71906: AddressSanitizer: negative-size-param (-1) in mbfl_strcut

Fix bug #71798 - Integer Overflow in php_raw_url_encode

Fix bug #71860: Require valid paths for phar filenames

Going for 5.5.34

fix test file

Fix version

Update NEWS

Fix bug #71498: Out-of-Bound Read in phar_parse_zipfile()

Fixed bug #71587 - Use-After-Free / Double-Free in WDDX Deserialize

add error check to sysconf call

Going for 5.5.33 now

fix tests

fix NEWS

update NEWS

Merge branch 'PHP-5.5' into PHP-5.5.32

* PHP-5.5:
  Upgrade bundled PCRE to 8.38
  Fixed NEWS file entry

Upgrade bundled PCRE to 8.38

Fixed bug #71488: Stack overflow when decompressing tar archives

update NEWS

add missing headers for SIZE_MAX

backport the escapeshell* functions hardening branch

add tests

Fixed NEWS file entry

Fix bug #71459 - Integer overflow in iptcembed()

Fixed bug #71323 - Output of stream_get_meta_data can be falsified by its input

Fix bug #71391: NULL Pointer Dereference in phar_tar_setupmetadata()

Fix bug #71335: Type Confusion in WDDX Packet Deserialization

Merge branch 'bug71354' into PHP-5.5.32

* bug71354:
  Fix bug #71354 - remove UMR when size is 0

Fix bug #71354 - remove UMR when size is 0

fix the fix for bug #70976 (imagerotate)

5.5.32 now

Update NEWS

Improve fix for bug #70976

Fixed bug #70661 (Use After Free Vulnerability in WDDX Packet Deserialization)

Fixed bug #70741: Session WDDX Packet Deserialization Type Confusion Vulnerability

Fixed #70728

Fixed bug #70755: fpm_log.c memory leak and buffer overflow

Fix bug #70976: fix boundary check on gdImageRotateInterpolated

typofix

Merge branch 'pr-1483' into PHP-5.5

* pr-1483:
  fixup, both catched by nikic
  use another character device in this test as /dev/console seems that it is different for lxc containers
  the de_DE(iso-8859-1) locale is not available on ubuntu by default, but there is no reason to require that over the utf-8 one
  let's try running our testsuite without sudo

Fixed test

5.5.31 now

add NEWS entries

Better fix for bug #70433

fix memory leak

FIx bug #70433 - Uninitialized pointer in phar_make_dirstream when zip entry filename is "/"

Fix bug #69720: Null pointer dereference in phar_get_fp_offset()

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Merge branch 'PHP-5.6'
  bump version

Conflicts:
configure.in
main/php_version.h

Merge branch 'PHP-5.6'

* PHP-5.6:
  Added missing skipif for phar+zlib test

5.5.30 next

bump version

Merge branch 'PHP-5.5' into PHP-5.5.29

* PHP-5.5:
  fix unit tests

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  fix unit tests

fix unit tests

Merge branch 'PHP-5.5' into PHP-5.5.29

* PHP-5.5:
  update NEWS
  add NEWS for fixes

update NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  add NEWS for fixes

add NEWS for fixes

Merge branch 'PHP-5.5' into PHP-5.5.29

* PHP-5.5:
  Improve fix for #70172
  Add CVE IDs asigned (post release) to PHP 5.4.43
  Add CVE IDs asigned to #69085 (PHP 5.4.39)

Conflicts:
ext/pcre/php_pcre.c

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Improve fix for #70172
  Fix bug #70312 - HAVAL gives wrong hashes in specific cases
  fix test
  add test
  Fix bug #70366 - use-after-free vulnerability in unserialize() with SplDoublyLinkedList
  Fix bug #70365 - use-after-free vulnerability in unserialize() with SplObjectStorage
  Fix bug #70172 - Use After Free Vulnerability in unserialize()
  Fix bug #70388 - SOAP serialize_function_call() type confusion
  Fixed bug #70350: ZipArchive::extractTo allows for directory traversal when creating directories
  Improve fix for #70385
  Fix bug #70345 (Multiple vulnerabilities related to PCRE functions)
  Fix bug #70385 (Buffer over-read in exif_read_data with TIFF IFD tag byte value of 32 bytes)
  Fix bug #70219 (Use after free vulnerability in session deserializer)
  Fix for bug #69782
  Add CVE IDs asigned (post release) to PHP 5.4.43
  Add CVE IDs asigned to #69085 (PHP 5.4.39)
  5.4.45 next

Conflicts:
configure.in
ext/pcre/php_pcre.c
ext/standard/var_unserializer.c
ext/standard/var_unserializer.re
main/php_version.h

Merge branch 'PHP-5.4.45' into PHP-5.4

* PHP-5.4.45:
  Improve fix for #70172
  Fix bug #70312 - HAVAL gives wrong hashes in specific cases
  fix test
  add test
  Fix bug #70366 - use-after-free vulnerability in unserialize() with SplDoublyLinkedList
  Fix bug #70365 - use-after-free vulnerability in unserialize() with SplObjectStorage
  Fix bug #70172 - Use After Free Vulnerability in unserialize()
  Fix bug #70388 - SOAP serialize_function_call() type confusion
  Fixed bug #70350: ZipArchive::extractTo allows for directory traversal when creating directories
  Improve fix for #70385
  Fix bug #70345 (Multiple vulnerabilities related to PCRE functions)
  Fix bug #70385 (Buffer over-read in exif_read_data with TIFF IFD tag byte value of 32 bytes)
  Fix bug #70219 (Use after free vulnerability in session deserializer)
  Fix for bug #69782

Improve fix for #70172

Merge branch 'PHP-5.4.45' into PHP-5.5.29

* PHP-5.4.45:
  Fix bug #70312 - HAVAL gives wrong hashes in specific cases

Fix bug #70312 - HAVAL gives wrong hashes in specific cases

Merge branch 'PHP-5.4.45' into PHP-5.5.29

* PHP-5.4.45:
  fix test

fix test

Merge branch 'PHP-5.4.45' into PHP-5.5.29

* PHP-5.4.45:
  add test
  Fix bug #70366 - use-after-free vulnerability in unserialize() with SplDoublyLinkedList
  Fix bug #70365 - use-after-free vulnerability in unserialize() with SplObjectStorage
  Fix bug #70172 - Use After Free Vulnerability in unserialize()
  Fix bug #70388 - SOAP serialize_function_call() type confusion
  Fixed bug #70350: ZipArchive::extractTo allows for directory traversal when creating directories
  Improve fix for #70385
  Fix bug #70345 (Multiple vulnerabilities related to PCRE functions)
  Fix bug #70385 (Buffer over-read in exif_read_data with TIFF IFD tag byte value of 32 bytes)

Conflicts:
ext/pcre/php_pcre.c
ext/standard/var_unserializer.c

add test

Fix bug #70366 - use-after-free vulnerability in unserialize() with SplDoublyLinkedList

Fix bug #70365 - use-after-free vulnerability in unserialize() with SplObjectStorage

Fix bug #70172 - Use After Free Vulnerability in unserialize()

Fix bug #70388 - SOAP serialize_function_call() type confusion

Fixed bug #70350: ZipArchive::extractTo allows for directory traversal when creating directories

Improve fix for #70385

Fix bug #70345 (Multiple vulnerabilities related to PCRE functions)

Fix bug #70385 (Buffer over-read in exif_read_data with TIFF IFD tag byte value of 32 bytes)

More fixes for bug #70219

Merge branch 'PHP-5.4.45' into PHP-5.5.29

* PHP-5.4.45:
  Fix bug #70219 (Use after free vulnerability in session deserializer)
  Fix for bug #69782
  5.4.45 next

Conflicts:
configure.in
ext/standard/var_unserializer.c
ext/standard/var_unserializer.re
main/php_version.h

fixup, both catched by nikic

use another character device in this test as /dev/console seems that it is different for lxc containers

the de_DE(iso-8859-1) locale is not available on ubuntu by default, but there is no reason to require that over the utf-8 one

Fix bug #70219 (Use after free vulnerability in session deserializer)

let's try running our testsuite without sudo

Fix for bug #69782

Add CVE IDs asigned (post release) to PHP 5.4.43

Add CVE IDs asigned to #69085 (PHP 5.4.39)

5.5.29 next

5.4.45 next

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  fix test

fix test

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  __wakeup doesn't have to be final

__wakeup doesn't have to be final

update NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  fix test
  update NEWS

fix test

update NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Fix bug #70019 - limit extracted files to given directory
  Do not do convert_to_* on unserialize, it messes up references
  Fix #69793 - limit what we accept when unserializing exception
  Fixed bug #70169 (Use After Free Vulnerability in unserialize() with SplDoublyLinkedList)
  Fixed bug #70166 - Use After Free Vulnerability in unserialize() with SPLArrayObject
  ignore signatures for packages too
  Fix bug #70168 - Use After Free Vulnerability in unserialize() with SplObjectStorage
  Fixed bug #69892
  Fix bug #70014 - use RAND_bytes instead of deprecated RAND_pseudo_bytes
  Improved fix for Bug #69441
  Fix bug #70068 (Dangling pointer in the unserialization of ArrayObject items)
  Fix bug #70121 (unserialize() could lead to unexpected methods execution / NULL pointer deref)
  Fix bug #70081: check types for SOAP variables

Conflicts:
.gitignore
ext/date/php_date.c
ext/spl/spl_array.c
ext/spl/spl_observer.c

Merge branch 'PHP-5.4' into PHP-5.4.44

* PHP-5.4:
  Fixed bug #69892
  Adjust Git-Rules

Fix bug #70019 - limit extracted files to given directory