De ontwikkelaars van PHP hebben voor zover bekend voor het eerst in de geschiedenis van de populaire scripttaal, een versie teruggetrokken nadat deze al officieel was uitgebracht. Versie 5.2.7 blijkt een ernstige bug te bevatten.
Versie 5.2.7 werd op 4 december vrijgegeven, zeven maanden na zijn voorganger. Daags na de release werd echter een beveiligingslek ontdekt, wat de ontwikkelaars heeft bewogen om maandag versie 5.2.8 te introduceren. Veel woorden maken de ontwikkelaars niet vuil aan het ontdekte lek: "Door een beveiligingslek dat in PHP 5.2.7 is ontdekt, is deze versie teruggetrokken. De bug heeft betrekking op systemen waar magic_quotes_gpc
is ingeschakeld, omdat het uitgeschakeld blijft."
Als magic_quotes_gpc
is uitgeschakeld, wordt een systeem vatbaar voor sql-injectie tenzij een programmeur in zijn code aanvullende beveiligingsmaatregelen treft. De magic_quotes-functie voorziet variabelen automatisch van escape-tekens, zodat onder andere kan worden voorkomen dat aanvallers invoervelden van een webpagina gebruiken om code uit te voeren. Magic_quotes_gpc
zorgt dat deze functionaliteit wordt toegepast op de get-, post- en cookie-variabelen in http-requests. Veel programmeurs vertrouwen op deze functionaliteit omdat deze in PHP standaard is ingeschakeld.
De ontwikkelaars achter PHP nemen de implicaties van het ontdekte lek dermate serieus dat ze zondag hebben besloten de gehele versie uit roulatie te nemen en maandag PHP 5.2.8 vrij te geven. Normaliter zit er een aantal maanden tussen twee versies, waarbij eventuele bugs met updates worden verholpen. De laatste keer dat twee versies zo kort op elkaar volgden, was in augustus 2006. PHP 5.1.6 volgde toen al na twee weken versie 5.1.5 op.