Вышла версия PHP 5.3.10 с исправлением [3] уязвимости.
Для стабильной ветки Debian вышло обновление php5-5.3.3-7+squeeze7 [4], полностью устраняющее [5] данную уязвимость. Обновление также выпущено [6] для RHEL и CentOS [7].
Так как функция php_register_variable_ex(), ошибка в которой вызывает уязвимость, была добавлена в PHP уже давно, не исключается [8] возможность нахождения способа атаки на более старые версии PHP, начиная c версии 5.3.5. Но данные методы уже не проявляются так легко, как с max_input_vars.
Ссылки:
[1] http://htfl.ru/cat-news-php
[2] http://htfl.ru/cat-news-obnovlenie-po
[3] /out.php?link=http://news.php.net/php.announce/87
[4] /out.php?link=http://packages.debian.org/squeeze/php5
[5] /out.php?link=http://anonscm.debian.org/gitweb/?p=pkg-php/php.git;a=commit;h=98d022179f15d0b30f4ff0e26184bd1e4a38fc3b
[6] /out.php?link=http://rhn.redhat.com/errata/RHSA-2012-0093.html
[7] /out.php?link=http://lists.centos.org/pipermail/centos-announce/2012-February/018415.html
[8] /out.php?link=http://www.securityfocus.com/bid/51830/info