安定性を強化した「PHP 5.3.9」リリース、Hashdos脆弱性など多くのバグを修正

 1月10日、PHP 5.3系の最新版「PHP 5.3.9」がリリースされた。安定性の強化を目的としたリリースで、セキュリティ関連の問題を含む90件以上のバグが修正されている。

 5.3.9は5.3系の最新安定版となり、2011年8月にバージョン5.3.8を公開して以来のリリースとなる。セキュリティ関連の修正としては、DoS攻撃に関する脆弱性2件が修正された。まず、Hash衝突または「Hashdos」と呼ばれる攻撃に対応するためにHTTPリクエストにおけるパラメーター入力を制限する「max_input_vars」ディレクティブが追加された。この問題は、2011年末に開催されたカンファレンス「Chaos Communication Congress」で、PHPなどのWebアプリ開発言語に対するDoS攻撃として発表されていた。また、無効なexifヘッダのパーシングにおける整数オーバーフローのバグも修正されている。

 そのほかの大きな変更点として、is_a()呼び出しに関するバグの修正や、mysqlndに関するバグが修正されている。FPM SAPIモジュールにも多くの変更が加えられているとのこと。

 PHP開発チームは現在、次期版となる「PHP 5.4」を開発中で、1月7日にはリリース候補(RC)5版が公開されている。

PHP: Hypertext Preprocessor
http://www.php.net/

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.3.9