脆弱性修正によって新たに生じた脆弱性を修正した「PHP 5.3.10」がリリース

 PHP開発チームは2月2日、「PHP 5.3.10」を公開した。1月に公開された「PHP 5.3.9」でのセキュリティ修正により生じた脆弱性を補う修正が施されており、全ユーザーにアップグレードを推奨している。

 5.3.10では、PHP向けのセキュリティ拡張「Suhosin」開発者のStefan Esser氏が発見した深刻な脆弱性が修正された。悪用すると遠隔から任意のコードを実行できるというもので、 この脆弱性を利用する検証コードがすでに公開されている。

 前バージョンの5.3.9で、Hash衝突または「Hashdos」と呼ばれる攻撃に対応する修正としてHTTPリクエストにおけるパラメーター入力を制限する「max_input_vars」ディレクティブが追加されたが、この実装が場合によっては攻撃者による悪用を可能にすると説明している。

 PHP開発チームは同日、次期版「PHP 5.4」の7回目となるリリース候補(RC)もリリースしている。

PHP: Hypertext Preprocessor
http://www.php.net/