事情大致上是這樣的:Stefan Esser 本來在 PHP Security Response Team,後來因為對於 Security Response Team 處理安全漏洞的態度不滿 (依照 PHP Security From The Inside 裡的敘述,這些人處理安全漏洞的方式常常是挖東牆補西牆,像是針對某個 exploit code 修正讓他不能用,結果只要把本來的 exploit code 改一改又可以動了),於是他決定離開 PHP Security Response Team,舉辦一個 the Month of PHP Bugs 的活動,每天公佈一個 PHP 本身的 security bug (包括 PHP core、PHP extension、Zend engine)。
以目前 the Month of PHP Bugs 丟的速度來看 (在美國三月四號剛結束),這個月丟完可能會有接近一百個 bugs... 不過以 PHP team 的情況看起來,很有可能會擺爛等到月底再出個 4.4.7 與 5.2.2,所以自己多保重,有燒香有保佑...
也許應該訂個 mailing list 看一下到底是怎麼樣好了。
反正 script kiddies 這麼多,就先把資料備一備,被破台的時候 script backup 也不錯嘛... *boom*
所以Suhosin存在才有意義阿:)
像是MoPB裡面的phpinfo() XSS...那不知道修了N次了...