PHP5.6.11/5.5.27/5.4.43対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスPHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.3/5.2/5.1/4.4/4.3に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

◆ 2015/07/15
PHPプロジェクトのPHP 5.4.43リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています。

Version 5.4.43
Core:
Fixed bug #69768 (escapeshell*() doesn't cater to !).
Windowsのみ
PHP 5.3/5.2/4.4/4.3
php-X.X.X-5.4.43-escapeshell.patch
!のエスケープ漏れによりコマンドインジェクションが可能になる。

Fixed bug #69874 (Can't set empty additional_headers for mail()), regression from fix to bug #68776.
PHP N/A
PHP 5.4.42パッチセットで対応済

Mysqlnd:
Fixed bug #69669 (mysqlnd is vulnerable to BACKRONYM). (CVE-2015-3152)
PHP N/A
SSL証明書の検証自体をサポートしていない。(PHP 5.3)
Mysqlndのサポートがない。(PHP 5.2 <)

Phar:
Fixed bug #69958 (Segfault in Phar::convertToData on invalid file).
Fixed bug #69923 (Buffer overflow and stack smashing error in phar_fix_filepath).
PHP 5.3
php-X.X.X-5.4.43-phar.patch
#69958メモリ管理エラーによるクラッシュ。#69923スタックオーバーフロー脆弱性がある

 

詳しい情報はパッチのドキュメントを参照してください。