脆弱性を修正したPHP 5.3.6リリース

 PHP Development Teamは3月17日、最新版となる「PHP 5.3.6」を公開した。バージョン5.3系の安定性を強化するものとなり、5つの脆弱性が修正されている。

 修正された脆弱性は、Phar(PHP Archive)のフォーマット文字列の脆弱性、共有メモリブロックから文字列を読み込むshmop_read()の整数オーバーフローなど。これらのいくつかは、悪用されるとDoS攻撃を受けるおそれがあるものだった。このほか、FastCGI Process Manager(FPM)のSAPIのプロトコルパーシングのセキュリティも強化したという。最新版で修正したバグは60件以上としている。

 セキュリティ強化に加え、同梱されるSQLiteがバージョン3.7.4にアップデートされたほか、PCREはバージョン8.11となった。このほかの強化としては、「stream_context/http/header/Proxy-Authorization」を利用することでBasic認証によるプロキシー経由でのHTTPS接続が可能になった点やデバッグ用バックトレース関数にオプションが追加された点が挙げられている。

 なお、PHP 5.2系はすでにサポート外となっていることから、開発チームは最新版へのアップグレードを呼びかけている。

PHP Development Team
http://www.php.net/

「PHP 5.3.6」ダウンロード
http://us2.php.net/downloads.php