PHP 5.2.1 이 출시되었습니다. 이번 릴리즈의 큰 특징이라면 보안 강화를 전면에 부각시키고 있다는 점입니다. PHP의 이전까지의 릴리즈 문서를 보면 주요 기능 개선 사항을 주요 사안으로 다루고, 보안 버그 수정 사항을 간략히 포함하는 형태였습니다. - 예: PHP 5.1.0 릴리즈 문서

최근의 5.2.0 의 릴리즈 문서까지도 눈에 잘 띄게 변경한 것 외에는 주요 기능 개선 사항을 상단에서 부각시키고, 하단에서 보안 버그 수정 사항을 다루는 틀을 벗어나지 못했습니다.

그러나 5.2.1 릴리즈 문서를 보면 작지만 중요한 차이를 볼 수 있습니다. 보안 버그 수정 사항이 상단에 배치되고, 자세한 변경 사항을 적고 있는 반면, 주요 기능 개선 사항은 하단에서 간략하게 다루고 있습니다.

그만큼 보안상 많은 변화가 있었던 탓도 있겠습니다만, 최근에 Stefan Esser 가 PHP 보안 프로젝트에서 손을 떼면서 토로한 불만을 의식한 게 주요 이유가 아닌가 싶습니다.

Stefan Esser 는 Hardend-PHP 프로젝트, Suhosin 등의 프로젝트를 통해 PHP의 보안 강화에 기여한 인물로 명성이 높습니다. 그는 최근 PHP 프로젝트 인원들의 비우호적인 태도로 인해 PHP 보안에서 손을 떼면서 그간의 불만을 솔직하게 토로한 바 있는데, 이런 사실이 Slashdot 등 유명 사이트를 통해 공개되면서 PHP 프로젝트가 보안에 대해 상당한 질타를 받았습니다.

그간 PHP 는 많은 보안 전문가들에게 비난을 받아왔습니다. 언어의 설계 문제, 구현상의 문제, 환경 설정(php.ini)에 지나치게 의존하여 보안을 강화하려는 시도 (애초 의도와 달리 PHP 보안을 거의 불가능하게 만든 중요한 실수가 되었죠) 등의 문제로 일부 보안 전문가들은 PHP를 보안이 불가능한 언어라고 까지 말하기도 합니다. 실제로 해외에 발표되는 보안 권고문을 봐도 PHP로 개발된 어플리케이션의 숫자가 매우 많습니다. 이런 상황에서 PHP 보안에 지대한 기여를 한 Stefan Esser 를 내쫓았다는 소식까지 들리니....

PHP 프로젝트는 보안에 취약한 프로젝트라는 실추된 명예를 회복하기 위해 당분간 보안 강화를 위한 다양한 노력을 보여주고자 할 것 같습니다. 이번 릴리즈 문서의 변화는 그런 변화를 반영한 것일 테구요.

이번 5.2.1 릴리즈에서 해결된 보안 취약점들은 특히 호스팅 환경에서 이슈가 될만한 취약점들이라고 하는데, 몇몇 변경 사항은 어플리케이션 정상 작동에 영향을 줄만한 부분도 보입니다. 보안 강화를 위해 신속히 적용하는 것도 중요하겠지만, 혹시 문제가 발생하지 않는지 충분히 테스트를 거치시는 것이 좋겠습니다. 참고로 PHP 프로젝트에서는 5.x 버전 사용자의 5.2.1 릴리즈로의 이행을 아래와 같이 강하게 권고하고 있습니다.

The majority of the security vulnerabilities discovered and resolved can in most cases be only abused by local users and cannot be triggered remotely. However, some of the above issues can be triggered remotely in certain situations, or exploited by malicious local users on shared hosting setups utilizing PHP as an Apache module. Therefore, we strongly advise all users of PHP, regardless of the version to upgrade to 5.2.1 release as soon as possible. PHP 4.4.5 with equivalent security corrections will be available shortly.