PHP5.6.1/5.5.18/5.4.34対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスPHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.3/5.2/5.1/4.4/4.3に対応しています。

PHPセキュリティ保守サービスが新しいセキュリティフィックスに対応しました。このリリースでは以下の修正が行われています。

16-Oct-2014

  • Fileinfo:
    • Fixed bug #66242 (libmagic: don't assume char is signed).
  • Core:
    • Fixed bug #67985 (Incorrect last used array index copied to new array after unset).
    • Fixed bug #68044 (Integer overflow in unserialize() (32-bits only)). (CVE-2014-3669)
  • cURL:
    • Fixed bug #68089 (NULL byte injection - cURL lib).
  • EXIF:
    • Fixed bug #68113 (Heap corruption in exif_thumbnail()). (CVE-2014-3670)
  • OpenSSL:
    • Reverted fixes for bug #41631, due to regressions.
  • XMLRPC:
    • Fixed bug #68027 (Global buffer overflow in mkgmtime() function). (CVE-2014-3668)

CVE登録された脆弱性
  • XMLPRC : CVE-2014-3668  5.0 (警告) [NVD値] PHP の XMLRPC エクステンションにおけるバッファオーバーフローの脆弱性
  • Core : CVE-2014-3669  7.5 (危険) [NVD値] PHP の ext/standard/var_unserializer.c 内の object_custom 関数には、整数オーバーフローの脆弱性 
  • EXIF : CVE-2014-3670  6.8 (警告) [NVD値] PHP の EXIF エクステンションの exif.c 内の exif_ifd_make_value 関数におけるサービス運用妨害 (DoS) の脆弱性

CVE登録されていない脆弱性

  • cURL : ヌル文字インジェクション脆弱性がセキュリティ用フィルターコードをバイパスさせ、不正なURLにアクセスさせる攻撃に利用される可能性があります。
  • OpenSSL : この修正は「誤ってセキュリティ脆弱性修正のみのPHP 5.4にコミットされた修正」として削除されました。しかし、実際には一定のリスクがあるため本サービスでは継続してこの削除されたパッチの適用を推奨しています。


以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

◆ 2014/11/13
PHPプロジェクトのPHP 5.4.34リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティフィックスが報告されています。

16-Oct-2014

- Fileinfo:
. Fixed bug #66242 (libmagic: don't assume char is signed).
PHP 5.3以降に適用

- Core:
. Fixed bug #67985 (Incorrect last used array index copied to new array after unset).
Zendエンジン内のメモリ管理エラー。未適用

. Fixed bug #68044 (Integer overflow in unserialize() (32-bits only)). (CVE-2014-3669)
PHP 5.2以降に適用

- cURL:
. Fixed bug #68089 (NULL byte injection - cURL lib).
PHP 4.3以降に適用

- EXIF:
. Fixed bug #68113 (Heap corruption in exif_thumbnail()). (CVE-2014-3670)
PHP 5.2以降に適用

- OpenSSL:
. Reverted fixes for bug #41631, due to regressions.
適用なし

- XMLRPC:
. Fixed bug #68027 (Global buffer overflow in mkgmtime() function). (CVE-2014-3668)
PHP 5.2以降に適用

詳しい情報はパッチのドキュメントを参照してください。