PHP Development Teamが,オープンソースのスクリプト言語PHPの新版であるPHP 5.1.2を米国時間1月12日,同じくPHP 4.4.2を1月13日に公開した。旧版のセキュリティ問題やバグを修正しており,PHP Development Teamはすべてのユーザーに対してアップデートを強く推奨している。WebサイトからソースコードとWindows用バイナリが無償ダウンロードできる。

 PHP 4.4.2については,複数のセキュリティ問題と30件以上のバグを修正した。主な変更点は以下の通り。

・ヘッダーの長さを1行に制限することでヘッダー・インジェクションを防ぎ,header関数に存在していたHTTP応答分割の問題を解消

・クロスサイト・スクリプティング(XSS)に悪用される可能性のある,エラー・レポーティング関数内の問題を解消

・key/current関数内で再発したバグの修正

 PHP 5.1.2は,HTTP応答分割の問題やext/mysqli内の書式指定文字列のぜい弱性といったセキュリティ面の改善と,80件以上のバグ修正を実施した。さらに,コア・モジュールへのハッシュ拡張機能の付加,OCI8拡張機能の更新,GD拡張機能でのPNG形式対応,SimpleXML拡張機能へのgetNamespaces/getDocNamespacesの追加といった強化も行った。

◎関連記事
IT Pro 2005年 セキュリティ分野の重大ニュース---さまざまな脅威が出現した1年,月間ランキングで振り返る
「ボットに感染するのはWindowsだけではない,Linuxも標的に」---米SANS
MSNサーチが特定の文字列による検索を“拒否”,phpBBの脆弱性を突くワーム対策
【PHPウォッチ】第22回 PHP 5.1ついにリリース,大幅な高速化を実現し重大なセキュリティ問題も修正
「このシステムが狙われる」,米SANSが“トップ20”リストを発表
「欧州/中東/アフリカではP言語の利用が前年比2ケタ減」,米調査
「企業のネットワーク・セキュリティ,OSよりセキュリティ製品の脆弱性が増加」,米調査
Javaを脅かすPHP,大手テクノロジ企業が続々支持

[発表資料(PHP 4.4.2)]
[発表資料(PHP 5.1.2)]