PHP 5.2.7 fué lanzado el pasado 4 de Diciembre "enfocado en mejorar la estabilidad de la rama de PHP 5.2.x con más de 120 correcciones de errores, muchas de las cuales están relacionadas con la seguridad". Sin embargo, sólo 3 días después se anunció que se terminaba la distribución de PHP 5.2.7 debido a un error de seguridad.

El error afectaría a las configuraciones donde la opción de magic-quotes-gpc se encuentra activada "porque sigue desactivada aún cuando está configurada como activada".

La solución propuesta es simple: usar PHP 5.2.6 hasta que PHP 5.2.8 sea lanzado.

El primer día de este mes comenzó el Mes de los Errores de PHP, una iniciativa que durante todo este Marzo del 2007 revelará nuevas y viejas vulnerabilidades de seguridad en el Zend Engine, el núcleo de PHP y sus extensiones a un ritmo diario. El objetivo es, por supuesto, mejorar la seguridad de PHP, aunque el evento no se concentrará en los problemas en el propio lenguaje a los que generalmente se acusa de ser el motivo de aplicaciones PHP inseguras...

Coverity, una empresa productora de herramientas de análisis de código, en un estudio patrocinado por la universidad de Stanford, reveló que el llamado "LAMP" (Linux + Apache + MySQL + PHP, Perl o Python) tiene menos errores por 1000 líneas de código fuente que otros 32 proyectos Open Source analizados.

Nuestro amado LAMP mostró "una significativa mejor calidad de software", con un promedio de 0.29 errores por 1000 líneas de código. Sin embargo, PHP es el único componente de ese conjunto que tiene una densidad de bugs superior al resto (!).

La empresa de seguridad informática McAfee informó la aparición del virus "Lupper", que se distribuye ejecutándose y duplicándose en servidores Web con scripts PHP/CGI vulnerables. El virus explota la reciente vulnerabilidad de XML-RPC descubierta en muchos sistemas de gestión de contenidos (Drupal, Wordpress y PostNuke, entre otros), así como un par de vulnerabilidades existentes en AWStats Rawlog Plugin y Webhints.

Increíble como pueda sonar, hoy se confirmó la existencia de otro gusano que usa a Google para buscar sitios con una instalación de phpBB vulnerable, pero esta vez no para explotarlo maliciosamente como el gusano Santy, sino todo lo contrario: para instalarles un parche que solucione ese potencial problema (!). Todavía nadie está seguro sobre la eficacia del gusano Anti-Santy, pero hay dos cosas claras:

• los sitios afectados ahora muestran el mensaje "viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11."; y
• algunos indicios apuntan a que el origen del gusano es... ¡Argentina!

Según datos revelados durante el día de ayer ya son unos 40.000 sitios los afectados por este virus desde que se inició su distribución a principios de esta semana. El PHP/Santy.A.worm, escrito en lenguaje Perl, usa Google para buscar servidores web con phpBB cuya versión sea anterior a la 2.0.11 y que no contenga el parche de vulnerabilidad para el archivo viewtopic.php descubierto el 15 de noviembre pasado.

Con respecto a la versión 4.3.10 de corrección de vulnerabilidades liberada recientemente, algunos usuarios están reportando que ésta versión de PHP tiene serios problemas de funcionamiento con Zend Optimizer v2.5.3 (y quizás también versiones anteriores). Quienes también se hayan topado con este problema tienen 2 alternativas: desactivar Zend Optimizer o actualizarlo a una versión más reciente (actualmente en su v2.5.7).