The Month of PHP bugs

Stefan Esser氏*1へのインタビュー記事がSecurityFocus - PHP Security From The Insideに載っています。

インタビュー記事の内容は PHP Security Response Team を辞任した経緯などなど、結構盛りだくさんですが、注目すべきは記事の3ページ目の『2007年3月(来月)を「The Month of PHP bugs」とする』とのくだりです。

The Month of PHP bugs will take place in March 2007. Its goal is to make people and especially the PHP developers aware that bugs in PHP exist.
We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities, some only local, but some remotely trigger-able (for example, because they are in functions usually exposed to user input).
Most of the holes were previously disclosed to the vendor, but not all.
In total we have more than 31 bugs to disclose, and therefore there will be days when more than one vulnerability will be disclosed.

SecurityFocus - PHP Security From The Inside


  • 3月に1日1つ以上のペースでPHPのバグを公開する。
  • リモートから攻略可能なバグも含まれる。
  • 殆どは事前にベンダ(PHP開発者)に公開するが、全てではない。



*1:Stefan Esser氏は、Hardened-PHP創始者PHP Security Response TeamのコアメンバーFireFox用のHttpOnlyアドオンの開発者、などとして知られている人です。既に彼自身のブログSlashdotで報じられているように、彼は昨年末にPHP Security Response Teamを辞任してしまいました。