PHP開発者のStefan Esser氏が,3月にPHPのバグを公表し続けた活動「Month of PHP Bugs(PHPバグ月間)」をご記憶だろうか。PHPバグ月間によって公開されたバグの総数は41件だった。この活動を監視していた米SPI Dynamicsの上級研究開発エンジニアであるJeff Forristal氏が,バグ月間の総括と分析を提示している(関連記事:Month of PHP Bugs: Mid-month analysis(英語))。
Forristal氏の記事には,執筆時点で公開されていたバグの潜在的な影響について,興味深い情報が書かれている。なかでも注目に値するのは,自身のサーバー上で,他者(サード・パーティ)がPHPベースのスクリプトをアップロードして実行することを許可しているユーザーに,サーバー・セキュリティ上の深刻な問題をもたらす可能性がある2つのバグだ。Forristal氏は,「PHPホスティング・サービスを提供しているWebホスティング企業は,今すぐ警戒を強めるべきだ」と警告を発している。
Forristal氏は,MOPBに関する2つ目の記事も公開している(関連記事:The current state of PHP security (w/ MOPB full review)(英語))。彼はこの記事でも興味深い分析を提示しており,これを読むと自分が最新バージョンのPHP 4あるいはPHP5を確実に使っているかどうか,確認せずにはいられなくなる。この分析は非常に有益であるが,筆者にとっては,「Being proactive with your PHP installation(先を見越したPHPのインストール)」という個所の情報がとても有益だった。
Forristal氏はこの個所で,チェックすべき様々な設定内容の長大なリストを提示している。いくつかのケースでは,「自分のアプリケーションが使用しないなら,有効にしておくべきではないPHP機能」がたくさんあることに気づくだろう。PHPインストールの安全性の確保については,他のサーバー強化プロセスと同じように考えることが可能だ。つまり,使っていないコンポーネントがあるのなら,そのコンポーネントはシステム上で有効にすべきではないのだ。
PHPの最新バージョン(PHP 5.2.2とPHP 4.4.7)は,5月3日にリリースされた。PHPを使っているのなら,必ずすぐにアップデートしてほしい(PHP 5.2.2とPHP 4.4.7のダウンロード・サイト)。PHPインストールの安全性を確保する方法についてもっと知りたい方は,筆者の過去の記事「「PHPバグ月間」への対処法,危険な関数を無効にしよう」に目を通してみてほしい。
