Et bien parce que des problèmes jugés suffisamment critiques ont été découverts et nécessitaient une correction immédiate et donc de nouvelles versions de test.

L'un des deux est d'ailleurs à l'origine de la sortie de PHP 5.3.10, intervenue également aujourd'hui, et je vous encourage d'ailleurs fortement à migrer sans délai vers cette dernière si vous utilisez la version 5.3.9.

Assez paradoxalement, ce bug de sécurité a été introduit par la modification effectuée dans la version RC4 pour contrer les attaques de type hashDOS.

Pour la petite histoire, il a été découvert par Stephan Esser, l'auteur du module de sécurité Suhosin, alors même qu'une discussion relativement virulente au sujet du retrait de ce module de la prochaine version de Debian est en cours sur internals@.

Stephan a de plus relevé au moins une autre faille de sécurité potentielle et semble être sur la piste d'une troisième, voir même d'une quatrième.

L'autre bug critique n'est pas directement lié au code de PHP puisqu'il concerne quand à lui SSL et porte le doux nom de CVE-2011-3389.

Bref, il y a là largement matière à justifier deux nouvelles versions RC, d'autant que dans le même temps, d'autres bugs relativement importants concernant SOAP, les sessions et quelques autres fonctions de base ont été corrigés, qu'une fuite de mémoire a été colmatée et que plusieurs bibliothèques, dont libssh2, ont été mises à jour.

Cette RC7 est disponible au téléchargement à l'endroit habituel, et toujours comme d'habitude, une version spécifique à Windows est également disponible.

Et bien évidemment, elle n'est toujours pas qualifier pour être utilisée dans le cadre d'un environnement de production.