關於 Etefan Esser 不滿 PHP Bug 修復速度太慢, 於是於 2007/3/1 開始, 連續一個月, 打算一天貼出一個以上的 Bug, 到今天已經貼出 18 個了. 詳可見: the Month of PHP Bugs
他也不是只丟出來就算了, 同時還是有修復的計劃, 詳可見: Hardened-PHP Project Homepage
Debian 上有將此包成 php extension, 安裝方法如下:
- PHP4: apt-get install php4-suhosin
- PHP5: apt-get install php5-suhosin
關於 suhosin 的描述是advanced protection module
, 要不要裝就看自己決定囉, 裝完後, 若有 apache 的記得 restart apache.
不過這樣子把 Bug 貼出來的方法是蠻可怕的, 來看看這件事情的因果吧~
事情發生原因:
- Stefan Esser是在去年底離開PHP安全回應團隊,並且指控該組織修復PHP臭蟲的動作太慢。Stefan Esser表示,這項計畫是為了改善PHP的安全,他們鎖定的並非可能導致PHP應用程式不安全的PHP語言問題,而是PHP核心的安全漏洞。
於是:
- 今年3月該計畫將每天揭露至少一種在Zend Engine、PHP核心或PHP延伸語言中的新的或舊的安全漏洞,並會指出現在PHP安全回應團隊在現階段的漏洞管理程序中必要的改變。
- PHP臭蟲月計畫預計每天提出至少一個PHP臭蟲。去年底離開PHP安全回應團隊的Stefan Esser表示,這是為了改善PHP的安全。
上述內容轉載自: 安全專家啟動PHP臭蟲月
