Опубликованы корректирующие выпуски языка программирования PHP 7.0.6, 5.6.21 и 5.5.35, в которых внесено 55 изменений, в том числе устранено несколько уязвимостей:

• Переполнения кучи в функциях php_raw_url_encode и php_url_encode;
• CVE-2016-3078 — целочисленное переполнение в расширении Zip, позволяющее выйти за границы буфера при использовании вызовов ZipArchive::getFrom*;
• CVE-2016-3074 — уязвимость в libgd, приводящая к переполнению кучи при обработке сжатых данных в формате gd2;
• Крах при обработке некорректных данных в функции gethostbyname;
• Крах в реализации DateInterval::format;
• Обращение к данным за границей буфера при обработке заголовков EXIF;
• Проблемы с парсингом некорректных данных XML.

Дополнительно можно отметить публикацию результатов проверки кодовой базы PHP7 с использованием статического анализатора PVS-Studio. Разобрано десять наиболее явных ошибок, связанных с обращением к переменным вне области видимости, неверным построением логических выражений, применение знаковых операций к переменным беззнакового типа, определение заведомо никогда не выполняющихся блоков кода и т.п.