PR

 PHPのリリースでは,5.2系の5.2.1,4.4系の4.4.6と立て続けにリリースされた。それ以外にも,Railsライクなフレームワークであるsymfonyの1.0正式リリースや,Month of PHP Bugs(MOPB)サイトの公開など,多くの活動の成果が発表された。今回は,これらについてのレポートと,symfonyのレビューをお届けする。

PHPリリース関連情報

PHP 5.2.1,PHP 4.4.6リリース:セキュリティ問題を含めたバグの修正が中心

 2月14日にPHP 5.2.1とPHP 4.4.5がリリースされた。その後,PHP 4.4.5にて発生した問題に対応するため,3月1日にPHP 4.4.6がリリースされた。いずれも,脆弱性の修正や,機能改良を含めたものとなっている。対応された脆弱性の情報については,PHP 5.2.1のリリースノート及びPHP 4.4.5のリリースノートを参照されたい。

 これらのバージョンで修正された脆弱性の一部は,後に紹介するMonth of PHP Bugsにても詳細に公開されている。あわせて参考にして頂きたい。

PHPの脆弱性を報告するMonth of PHP BugsのWebサイトが公開

 Hardened-PHP ProjectのメンバーであるStefan Esser氏は,3月1日よりMonth of PHP Bugs(以下MOPB)というWebサイトを公開した。これは,PHP言語本体とその周辺ソフトウェアが有するセキュリティ脆弱性について,詳細に内容を説明するものである。

 もともとStefan Esser氏はPHP Security Responsible Team(PHPのセキュリティ責任チーム)に携わっていたが,昨年末に辞任するという事態があった(関連記事)。MOPBでは,既に修正されたセキュリティホールをはじめ,継続的にセキュリティ情報を公開していくという。

 MOPBではZend Platformmod_securityといった,PHPと共に使用されるツールについても,今後情報を公開していくとしている。なお,同内容の日本語訳について,日本PHPユーザ会の大垣氏の個人ブログに公開されている。こちらの情報も合わせて参考にされたい。

 また,Esser氏はPHPのセキュリティを強化するSuhosinの開発者でもある。Suhosinについては以前のPHPウォッチにも取り上げられているが,PHP本体に対するパッチを含む,強力なセキュリティが含まれている。

 Suhosinについては,これまでPHPにパッチを適用して公開する必要があったため,独自ビルドを作成することが困難なWindows環境やバイナリパッケージなどでは,Suhosinの適用を見送ることが多かった。そこで,独自に作成したSuhosin対応のCentOSおよびRHEL4向けのRPMパッケージとWindowsバイナリを,PHPプロ!の該当ページにて試験的に配布している。ぜひ皆さんに利用していただき,ご意見など頂きたい。