Stefan Esser氏*1へのインタビュー記事がSecurityFocus - PHP Security From The Insideに載っています。
インタビュー記事の内容は PHP Security Response Team を辞任した経緯などなど、結構盛りだくさんですが、注目すべきは記事の3ページ目の『2007年3月(来月)を「The Month of PHP bugs」とする』とのくだりです。
The Month of PHP bugs will take place in March 2007. Its goal is to make people and especially the PHP developers aware that bugs in PHP exist.
(略)
We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities, some only local, but some remotely trigger-able (for example, because they are in functions usually exposed to user input).
(略)
Most of the holes were previously disclosed to the vendor, but not all.
(略)
In total we have more than 31 bugs to disclose, and therefore there will be days when more than one vulnerability will be disclosed.
以下、超要約です。
本当に危険なものについては、いきなり一般公開されることは無いと期待しています。しかしバグ修正が遅い(とEsser氏が感じた)場合は、修正が終わる前に一般公開されるかもしれません。
いずれにせよ、PHPのサイトを運用している人は、3月以降、これまで以上にパッチあての作業に労力を割くことになるかもしれません。
*1:Stefan Esser氏は、Hardened-PHPの創始者、PHP Security Response Teamのコアメンバー、FireFox用のHttpOnlyアドオンの開発者、などとして知られている人です。既に彼自身のブログやSlashdotで報じられているように、彼は昨年末にPHP Security Response Teamを辞任してしまいました。