2013年6月6日にPHP5.5 RC3がリリースされた。RC2と比べて脆弱性を含むいくつかの不具合が修正されたそうだ。また、同日に、PHP5.4.16とPHP5.3.26もリリースされている。こちらの2バージョンでも、PHP5.5 RC3で修正されたものと同じ脆弱性（CVE-2013-2110）が修正されたようだ。PHP5.3のメンテナンスは、PHP5.5の正式版がリリースされてから1年で打ち切られる。

PHP 5.5 RC3 is available

PHP5.4.2と5.3.12がリリースされたのが5月6日。そしてそのわずか2日後の5月8日にPHP5.4.3とPHP5.3.13がリリースされた。

修正されたのは以下の2点
・apache_request_headers()のバッファーオーバーフロー問題（5.4系のみで発生）
・CGIで動作させている場合にソースコードが公開されてしまう脆弱性（CVE-2012-2311）の修正の仕上げ

5.4系を使っていて、apache_request_headers()を実行する可能性がある場合や、CVE-2012-2311の影響を受けている場合は、速やかにアップデートしましょう。

PHP5.3.9では、脆弱性CVE-2011-4885が修正された。この脆弱性を悪用すると、サーバに過度の負荷を掛け、サービスを提供できない状態にできます。この不具合はPHP5.0系、PHP5.1系、PHP5.2系にも含まれていますが、PHP5.3系以外の修正版は提供されていません。

セキュリティーホールの概要
　GETやPOSTで渡された変数はハッシュ構造に格納される。変数名に細工を加えることでハッシュの衝突が生じる。全ての変数のハッシュが衝突した場合、N個の変数の格納には、O(n2)の時間がかかるため、CPUに大きな負荷が発生する。

セキュリティーホールの修正
設定項目にmax_input_vars(デフォルト値1000)が追加された。計算量はO(n2)なので、1000個ぐらいの変数が衝突しても、現代のサーバなら問題ない。

バージョンアップせずに対応する方法
PHP5.3系を使っていれば、PHP5.3.10へのアップデートには大きなリスクはないが（とはいうものの、動作検証は必要）、PHP5.2系以前から、PHP5.3系への移行は一大事。DeprecatedやNoticeが大量に発生するだけならまだ良いが、関数名の衝突などが発生すると、アプリケーションのソースコードに手を加えざるを得ない。post_max_sizeに小さめの値(100kBなど）を設定すれば攻撃に対するリスクは軽減できる、ファイルのアップロードができなくなるなど、新たな問題が発生する可能性がある。現実的な対策としては、php.iniのpost_max_sizeを小さく設定し、ファイルのアップロードなどが必要な部分だけ、.htaccessを使って、post_max_sizeを適切な値に書き換えるのがよさそう。この対処をしても、ファイルのアップロード部分を攻撃されるとCPU負荷は上がるが、何も対処せずに、自動攻撃ツールの餌食になるよりはマシ。

とは言うもののバージョンアップしましょう
　上記の方法で、セキュリティーホールの穴を多少なりとも小さくできるが、設定変更や、その後の動作検証など、煩わしい作業が発生してしまう。古いバージョンのPHP（に限らずあらゆるソフトウェア）には、既知の脆弱性が含まれいる。攻撃の餌食になる前に、計画的にアップデートできるよう、きっちりした運用体制を構築しておくことが重要。

PHP5.3.10がリリースされました。このバージョンでは、リモートからの任意のコードが実行できるというセキュリティーホールが修正されています。

Fixed arbitrary remote code execution vulnerability reported by Stefan Esser, CVE-2012-0830.

PHPの公式サイトは、全てのユーザに対して、PHP5.3.10へのアップデートが強く推奨していますが、このセキュリティーホール自体はPHP5.3.9へのアップデートで発生したそうなので、PHP5.3.8以前であれば慌てて対応する必要はなさそうです。

2011年1月10日に、PHP5.3.9がリリースされました。セキュリティーの向上を含む90以上の不具合が修正されています。サポートの切れているPHP5.2系や、PHP5.3系の古いバージョンを使っている方は、アップデートを検討してみてはいかがでしょうか。

PHP5.3.8がリリースされた。PHP5.3.7の、crypt関数でエンコード方式にMD5を選択した際に引数にかかわらずsaltをそのまま返してしまうとい不具合が修正されているそうだ。Amazon EC2で運用しているサーバをアップデートしておこうと思う。

The PHP development team would like to announce the immediate availability of PHP 5.3.8. This release fixes two issues introduced in the PHP 5.3.7 release:

Fixed bug #55439 (crypt() returns only the salt for MD5)
Reverted a change in timeout handling restoring PHP 5.3.6 behavior, which caused mysqlnd SSL connections to hang (Bug #55283).
All PHP users should note that the PHP 5.2 series is NOT supported anymore. All users are strongly encouraged to upgrade to PHP 5.3.8.

2011/03/17に、PHP5.3.6がリリースされました。バグフィックスとセキュリティー向上が主な修正になっていますが、ライブラリ類のバージョンも上がっているようです。PHP5.3.5をリリースしたときは、5.2系も同時にリリースされたのですが、今回は5.3系のみのアップデートとなりました。今後は、よほど致命的なセキュリティーホールでも見つからない限り、5.2系のアップデートはなさそうです。

今回のリリースから、Windows向けのバイナリは、VC9++でコンパイルしたもののみが公開されているようです。

2010年12月9日にPHP5.2.15、12月10日にPHP5.3.4がリリースされました。PHP5.2系は5.2.14で最終リリースだと告知されていましたが、結果的に、5.2.15がリリースされることになりました。5.2.15のリリース文にも、これで最後のアップデートになると書かれていますので、5.2系で運用されている場合は、早めに5.3に移行しましょう。