Nun hat er bekannt gegeben, das er sich aus dem PHP Security Response Team zurückzieht, weil es ihn ankotzt für gefundene Sicherheitslöcher kritisiert zu werden.
Zudem kündigte er folgendes an:
Wenn man bedenkt das er die letzten großen Lücken in PHP gefunden hat wird mir schon etwas mulmig.For the ordinary PHP user this means that I will no longer hide the slow response time to security holes in my advisories. It will also mean that some of my advisories will come without patches available, because the PHP Security Response Team refused to fix them for months. It will also mean that there will be a lot more advisories about security holes in PHP.
Zur Zeit gibt es ja wieder einen: "PHP 5.2.0 session.save_path safe_mode and open_basedir bypass" der auf Full-Disclosure veröffentlicht wurde. (Allerdings nicht von ihm.)
Die ganze Story gibt es unter:
http://blog.php-security.org/archives/6 ... p.net.html