PHPにDoS攻撃を受ける複数のセキュリティ・ホール

　The PHP Development Teamやセキュリティ組織／ベンダーは米国時間3月31日，アプリケーション開発言語PHPのインタプリタ「PHP 4.2.x／4.3.x／5.0.x」に複数のセキュリティ・ホールが見つかったことを公表した。細工が施されたデータを送信されると，PHPが稼働するWebサーバー・マシンのCPU使用率が100％になって，通常のサービスを提供できなくなる。つまり，DoS（サービス妨害）攻撃を受ける可能性がある。対策は，セキュリティ・ホールを修正した最新版「PHP 5.0.4」あるいは「PHP 4.3.11」にアップグレードすること。

　とな。
　
　またか！という感じ。本当に、PHPというものは開発言語として使用するに値する言語なのだろうか。非常に疑問を感じる。
　
　というのは、この言語、定期的にセキュリティホールを連発しているからである。日本PHPユーザ会に載っているものだけを集めてもこんな感じ。

2004年12月26日
PHP <= 4.3.9 , PHP5 <= 5.0.2 にセキュリティー上の 欠陥があります。バージョンアップを強く推奨します。
詳細はPHP 4.3.10 ChangeLog及び PHP 5.0.3 ChangeLog を参照して下さい。
　
2004年7月15日
PHP <= 4.3.7 , PHP5 <= 5.0.0RC3 にリモートからプログラムを 実行できるセキュリティー上の欠陥があります。なお、PHPのコンパイル時に memory_limitオプションを無効にしてある場合は影響を受けません。
　
2003年2月17日
PHP 4.3.1 が リリースされました
　くわしくはPHP.NETへ
PHP4.3.0のCGI版に脆弱性が発見されたためリリース されました。この脆弱性はCGI版を使用している方以外には影響はありません。
　
2002年7月22日
PHP 4.2.2 が リリースされました
PHP 4.2.2より以前のバージョンには深刻なセキュリティホールがあるため、 バージョン4.2.2に更新することを強く推奨します。 　くわしくはPHP.NETへ
　
2002年2月28日
PHP 4.1.2 が リリースされました
PHP 4.1.1より以前のバージョンには深刻なセキュリティホールがあるため、修整パッチをあてるか、バージョンを 4.1.2に更新することを 強く推奨します。 くわしくはPHP.NETへ
国際化版PHP 3を含むPHP3にも同様のセキュリティ上の欠陥があります。 PHP 3.0.18-i18n-ja-3 への更新を強く推奨します。

　見ての通り、一年に一回では済んでいない。
　
　その昔、sendmailにセキュリティホールが出ると、「ああもうすぐ春だねえ」なんてイメージがあったが、PHPもその類か。今でも、bindやapache、sshなどではしょっちゅうセキュリティホールを埋めたバージョンがリリースされるが、開発言語においてこれほど頻度の高いものはついぞ聞かない。
　
　一方で、セキュリティホールが出やすい用途のプログラムであってもqmailのように一度もセキュリティホールが出ていないプログラムもあるし、プログラマの考え方なんだろうな。
　
　2002年ごろだろうか、客からPHPで書いて欲しいというリクエストがあって、「定期的にセキュリティホールが出るような言語は使うに値しないからやめといたほうがいいですよ、せめて2年間セキュリティホールが出なくなったら考えませんか」と提言したことがある。このとおりだと、今でも使えない言語ってことになる。
　
　しかしまあ、PHPという言語はわりと人気があるらしく、Blogの原型とも言えるWikiはPHPで開発されたものが数多い。
　
　ちょ、ちょっとまて、はてなって、開発言語はなんだ？詳しい人情報キボンヌ。