Blog

Edit Article PHP5.5.8/5.4.28対応 PHPセキュリティ保守サービス パッチ配布開始

PHP Security Patch Service
 / 18 January 2014 / 0 Comments

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.3/5.2/5.1/4.4/4.3に対応しています。

PHP5.5.8/5.5.7/5.4.23/5.4.24/5.3.28の脆弱性に対応したパッチセットを公開しました。これらのリリースには以下の脆弱性が報告されています。

  • Exif:
    • Fixed bug #65873 (Integer overflow in exif_read_data()).
  • OpenSSL:
    • Fixed memory corruption in openssl_x509_parse() (CVE-2013-6420). (Stefan Esser).
    • Fixed handling null bytes in subjectAltName (CVE-2013-4073).

 

Fixed bug #65873 (Integer overflow in exif_read_data()).

この脆弱性修正はCVE-2011-4566の修正が不十分であった問題に対応しています。CVE-2011-4566の解説ページではPHP 5.4以降に影響するとされていますが実際には、exifサポートする全てのPHPに影響します。PHP開発チームへのレポートでは細工をしていない画像でのクラッシュバグとして処理されています。元の脆弱性のCVSS Exploitability Subscoreが10(最大)である点を考慮し、弊社ではセキュリティパッチとして提供しました。

パッチ提供PHP: 4.3/4.4/5.1/5.2

 

CVSS Severity (version 2.0):

CVSS v2 Base Score:6.4 (MEDIUM) (AV:N/AC:L/Au:N/C:P/I:N/A:P) (legend)

Impact Subscore: 4.9

Exploitability Subscore: 10.0

CVSS Version 2 Metrics:


Access Complexity: LowAccess Vector: Network exploitable

Authentication: Not required to exploit

Impact Type:Allows unauthorized disclosure of information; Allows disruption of service

 

 

Fixed memory corruption in openssl_x509_parse() (CVE-2013-6420). (Stefan Esser).

CVE-2013-6420は不正な証明書を利用したサイトにSSL接続した場合に任意コード実行、サービス妨害を引き起こす脆弱性です。脆弱性のCVSS Exploitability Subscoreが10(最大)です。

パッチ提供PHP: 4.3/4.4/5.1/5.2

CVSS Severity (version 2.0):

CVSS v2 Base Score:7.5 (HIGH) (AV:N/AC:L/Au:N/C:P/I:P/A:P) (legend)

Impact Subscore: 6.4

Exploitability Subscore: 10.0

CVSS Version 2 Metrics:

Access Vector: Network exploitable

Access Complexity: Low

Authentication: Not required to exploit

Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

 

Fixed handling null bytes in subjectAltName (CVE-2013-4073).

CVE-2013-4073はRubyの脆弱性として報告されていますが、PHPのOpenSSLにも同じ脆弱性が存在しました。弊社ではこの脆弱性にいち早く対応しており既に修正済みでした。この脆弱性の修正は以前のパッチセットにCVE-2013-4248の修正として含まれています。

対応PHPバージョン:PHP 5.2

CVSS Severity (version 2.0):

CVSS v2 Base Score:6.8 (MEDIUM) (AV:N/AC:M/Au:N/C:P/I:P/A:P) (legend)

Impact Subscore: 6.4

Exploitability Subscore: 8.6

CVSS Version 2 Metrics:

Access Vector: Network exploitable
Authentication: Not required to exploitAccess Complexity: Medium

Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

どうぞお気軽にお問い合わせください!
お問い合わせ
ソースコード検査に耐えるコードとは?
現在のところ弊社ソースコード検査の検査合格にセキュアコーディングは必須ではありません。しかし、ISO 27000の改訂、改正個人情報保護法、GDPRの施行など、セキュアコーディング無しのコードに対する訴訟リスクは増大しています。
dowload

About ESI

Electronic Service Initiative, Ltd. は2000年に設立し、Webシステム開発をサポートしてきました。最近は特に自社開発の開発運用ツール提供、セキュアコーディング技術とセキュア開発の普及に努めています。

Contact info

  • 〒719-1165 岡山県総社市西坂台228
  • エレクトロニック・サービス・イニシアチブ有限会社
  • 0866-90-2131
  • info@es-i.jp
Copyright© Electronic Service Initiative, Ltd . All Rights Reserved.