Add NEWS/UPGRADING notes (openssl + curl)

Add encrypted server SNI support

- New "SNI_server_certs" context option maps host names to
  appropriate certs should client handshakes advertise the
  SNI extension:

    $ctx = stream_context_create(["ssl" => [
        "local_cert" => "/path/to/cert.pem",
        "SNI_server_certs" => [
            "domain1.com" => "/path/to/domain1.pem",
            "*.domain2.com" => "/path/to/domain2.pem",
            "domain3.com" => "/path/to/domain3.pem"
        ]
    ]]);

- Prefixing a "*." will utilize the matching cert if a client
  requests the primary host name or any subdomain thereof. So
  in the above example our "domain2.pem" will be used for both
  requests to "domain2.com" -and- "subdomain.domain2.com"
- The "SNI_server_certs" ctx option has no effect for client
  streams.
- SNI support is enabled by default as of 5.6 for both servers
  and clients. Servers must specify the "SNI_server_certs" array
  to actually use the SNI extension, though.
- If the `"SNI_enabled" => false` ctx option is also passed then
  "SNI_server_certs" has no effect.
- While supporting SNI by itself is enough to successfully
  negotiate the TLS handshake with many clients, servers MUST
  still specify a "local_cert" ctx option or run the risk of
  connection failures from clients that do not support the SNI
  extension.

Raise timeout to 2s, reworded ssl timeout warning

Refactor + reorganize openssl files

- All streams-related code now lives in xp_ssl.c. Previously
  stream code was split across both openssl.c and xp_ssl.c
- Folded superfluous php_openssl_structs.h into xp_ssl.c
- Server-specific options now set on SSL_CTX instead of SSL
- Deprecate SNI_server_name ctx option
- Miscellaneous refactoring

Merge branch 'PHP-5.6' of git.php.net:php-src into PHP-5.6

Add NEWS entry for mcrypt changes

Use zpp for accepting encryption mode string

Leaving the non-zpp usage for the mcrypt_{MODE} functions, as
they're deprecated and I'm too lazy to update all their tests.

Remove a number of macros that are no longer used

Provide expected IV length in IV error messages

Call mcrypt_module_close on error

Print supported key sizes in error message

Clean up do_crypt code

Avoid unnecessary alloc/copy/free cycles and clean up structure in
general. Add a few extra checks for the key length.

Abort on invalid key size

Previously an incorrectly sized key was either silently padded
with NUL bytes or truncated. Especially the silent nature of this
behavior makes it extremely easy to use weak encryption. A common
mistake - which has also been extensively made in our tests - is
to use a password instead of a key.

Incorrectly sized keys will now be rejected.

Abort on missing IV if the enc_mode requires it

Previously the code fell back on using a NUL IV if no IV was
passed and the encryption mode required it. This is dangerous and
makes no sense from a practical point of view (as you could just
as well use ECB then).

Abort on invalid IV size

Previously, if the size of the IV did not match the block size
mcrypt would throw a warning and fall back to a NUL IV. This
behavior is both dangerous and makes no practical sense.

mcrypt_encrypt etc. will now return false if the IV has an incorrect
size.

Refactor the result set data structures. Move more to the buffered and unbuffered
substructures. Add methods to these too. Preparing for pluggable interface for
returning data to the engine (zvals, c-style, something else)

NEWS

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  NEWS
  Fixed Bug #66815 imagecrop(): insufficient fix for NULL defer CVE-2013-7327

NEWS

Fixed Bug #66815 imagecrop(): insufficient fix for NULL defer CVE-2013-7327

This amends commit 8f4a537, which aimed to correct NULL dereference because of
missing check of gdImageCreateTrueColor() / gdImageCreate() return value.  That
commit checks for negative crop rectangle width and height, but
gdImageCreate*() can also return NULL when width * height overflows.  Hence
NULL deref is still possible, as gdImageSaveAlpha() and gdImagePaletteCopy()
is called before dst == NULL check.

This moves NULL check to happen right after gdImageCreate*().  It also removes
width and height check before gdImageCreate*(), as the same check is done by
image create functions (with an extra warning).

From thoger redhat com

fix merge

NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  NEWS
  Fixed Bug #66820 out-of-bounds memory access in fileinfo

NEWS

Fixed Bug #66820 out-of-bounds memory access in fileinfo

Upstream fix:
https://github.com/glensc/file/commit/447558595a3650db2886cd2f416ad0beba965801

Notice, test changed, with upstream agreement:
-define OFFSET_OOB(n, o, i) ((n) < (o) || (i) >= ((n) - (o)))
+define OFFSET_OOB(n, o, i) ((n) < (o) || (i) >  ((n) - (o)))

fix merge

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Improves fix for memory leak, keep in sync with upstream.

Improves fix for memory leak, keep in sync with upstream.

Previous fix:
http://git.php.net/?p=php-src.git;a=commitdiff;h=10eb0070700382f966bf260e44135e1f724a15d2

Upstream fix:
https://github.com/glensc/file/commit/c0c0032b9e9eb57b91fefef905a3b018bab492d9

Add notice about tsrm_virtual_cwd.h moved to zend_virtual_cwd.h
as this introduce need for awfull hacks...

Fixed NEWS for #60602

Merge branch 'PHP-5.5' into PHP-5.6

Fixed news for #60602

Merge branch 'PHP-5.4' into PHP-5.5

Updated news for #60602

proc_open(): separate environment values that aren't strings

Added a test case

Added DateTimeImmutable::createFromMutable.

Sort alphabetically

Fixed NEWS.

Capture peer cert even if verify fails

Previously the "capture_peer_cert" SSL context option only
captured the peer's certificate if the verification routine
succeeded.

By also capturing the on verify failure applications have the
ability to parse the cert and ask users whether they wish to
proceed given the information presented by the peer.

Windows cert verify improvements + leak fixes

- Clean up properly at all fail points in native Windows peer
  verification routine
- Bring certificate usages and chain flags into line with chromium
  implementation in windows environments

turn off some false positives

support for static analyzers other than visual studio

fix wording

Merge branch 'PHP-5.6' of git.php.net:php-src into PHP-5.6

reveal more info on the configure options

Updated news for #66535 and #66109

Updated news for #66535 and #66109

Updated NEWS for #66535

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  don't compare constants on run time

don't compare constants on run time

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  substr_compare(): Allow zero length comparison

substr_compare(): Allow zero length comparison

Treat zero length comparison as always equal.

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  Fixed test case title
  [bug 66535] X-PHP-Originating-Script adds newline if no custom headers are given

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  Fixed test case title
  [bug 66535] X-PHP-Originating-Script adds newline if no custom headers are given

Fixed test case title

[bug 66535] X-PHP-Originating-Script adds newline if no custom headers are given

A newline is added to the mail headers when mail.add_x_header is used and no other headers are passed to mail().

The scenario in which custom headers are used was already fixed in #48620, back in 2009.

Merge branch '5.5' into 5.6

* 5.5:
  Fixed expected output of a few cURL test cases
  Allow NULL as value for CURLOPT_CUSTOMREQUEST option.

Fixed expected output of a few cURL test cases

Allow NULL as value for CURLOPT_CUSTOMREQUEST option.

Added test case.

Refactored the code to isolate the string handling. Fixed return values to use SUCCESS and FAILURE.

Removed unused error variable.

Indentation fix.
Removed the ugly goto.

primitive test fixes

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  man page: long option name is --strip, not --stripped
  --global have be removed in 5.2

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  man page: long option name is --strip, not --stripped
  --global have be removed in 5.2

man page: long option name is --strip, not --stripped

--global have be removed in 5.2

remove pcntl leftover from the test code

list the fpm change hat rfc in UPGRADING

mention the apparmor support in fpm

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  typo spotted by Lajos Veres

typo spotted by Lajos Veres

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  update libs_version.txt

Conflicts:
win32/build/libs_version.txt

update libs_version.txt

update libs_version.txt

NEWS

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  NEWS
  NEWS
  test for bug #66762
  Fixed Bug #66762 Segfault in mysqli_stmt::bind_result() when link closed

NEWS

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  NEWS
  test for bug #66762
  Fixed Bug #66762 Segfault in mysqli_stmt::bind_result() when link closed

NEWS

test for bug #66762

Fixed Bug #66762 Segfault in mysqli_stmt::bind_result() when link closed

Each new mysqli_stmt now increase the refcount of the link object.
So the link is really destroy after all statements.

Only implemented with libmysqlclient, as mysqlnd already implement
this internally.

So, libmysqlclient and mysqlnd have the same behavior.

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  fix tests broken by 633f898f1520253d3530fe91fc82f68bca7c4627

Merge branch 'PHP-5.4' into PHP-5.5

* PHP-5.4:
  fix tests broken by 633f898f1520253d3530fe91fc82f68bca7c4627

fix tests broken by 633f898f1520253d3530fe91fc82f68bca7c4627

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

add missing NEWS entry

Merge branch 'curlClosePolicy' of https://github.com/DaveRandom/php-src into PHP-5.6

* 'curlClosePolicy' of https://github.com/DaveRandom/php-src:
  Remove cURL close policy related constants

Deprecate CN_match in favor of peer_name in SSL contexts

Remove cURL close policy related constants

These options don't do anything and they never have.

Refs:
  http://curl.haxx.se/libcurl/c/curl_easy_setopt.html#CURLOPTCLOSEPOLICY
  http://curl.haxx.se/mail/lib-2006-11/0301.html

Update stack size in tests/func/010.phpt

Stack size is 16K nowadays. Now the test takes a more reasonable
amount of time to run...

Don't add num_additional_args in SEND opcodes

Now that trailing positional args are disallowed,
num_additional_args will always be zero in SEND opcodes (and
FUNC_ARG fetches).

Disallow use of positional args after unpacking

This commit disallows the use of trailing positional arguments
after argument unpacking was used. The following calls are no
longer valid:

    fn(...$array, $var);
    fn(...$array1, $var, ...$array2);

However, all of the following continue to be valid:

    fn($var, ...$array);
    fn(...$array1, ...$array2);
    fn($var, ...$array1, ...$array2);

The reason behind this change is a stack allocation issue pointed
out by Dmitry: As of PHP 5.5 the stack necessary for pushing
arguments is precomputed and preallocated, as such the individual
SEND opcodes no longer verify that there is enough stack space.
The unpacked arguments will occupy some of that preallocated
space and as such following positional arguments could write past
a stack page boundary.

An alternative resolution for this issue is to ensure that there
is enough space for the remaining arguments in the UNPACK opcode.
However making this allocation precise (rather than using a
conversative over-estimate) would require some effort. Given that
this particular aspect of the feature wasn't very popular in the
first place, it doesn't seem worth the effort.

Store arg_num in fcall entry

Instead of storing the argument number in the znode of the parameter
list, store it in fcall->arg_num. This mainly cleans up the parameter
parsing code, which previously had to duplicate all rules (this
becomes more excessive as more features are added, e.g. named params
would already require a minimum of 14 rules...)

Introduce zend_function_call_entry structure

Instead of directly pushing the zend_function* onto the
function_call_stack, push this structure. This allows us to store
additional data on this stack.

move the default encoding NEWS entry to alpha3, as it was pushed after beta2 was tagged

rearrange the NEWS blocks a bit

Merge branch 'PHP-5.5' into PHP-5.6

* PHP-5.5:
  add news entry
  add news entry
  add clear_env option to FPM config
  add clear_env option to FPM config
  Reduce test noise on cross Oracle client <-> server version tests. This fix is already in PHP 5.6+
  Reduce test noise in cross Oracle client <-> server version testing. This change is already in PHP 5.6+