PHP5.6.9/5.5.25/5.4.41対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.3/5.2/5.1/4.4/4.3に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

◆ 2015/06/05
PHPプロジェクトのPHP 5.4.41リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ／バグフィックスが報告されています。

14-May-2015

Core:
Fixed bug #69364 (PHP Multipart/form-data remote dos Vulnerability). (CVE-2015-4024)

PHP 4.3以降に影響
処理の不具合によりDoS状態になる。

Fixed bug #69403 (str_repeat() sign mismatch based memory corruption).

PHP 4.4以降に影響
バッファ計算に問題があり、PHPスクリプトに扱えない大きさのメモリが割り当てられる。その結果、他のバッファに
コピーした場合に問題が発生する。

Fixed bug #69418 (CVE-2006-7243 fix regressions in 5.4+). (CVE-2015-4025)

PHP 4.3以降に影響
この問題はヌル文字インジェクション問題であり、包括的に対応できていないので未対応。

Fixed bug #69522 (heap buffer overflow in unpack()).

PHP 4.3以降に影響
整数オーバーフローによりメモリが破壊される。

FTP:
Fixed bug #69545 (Integer overflow in ftp_genlist() resulting in heap overflow). (CVE-2015-4022)

PHP 4.3以降に影響
受信したデータ量と割り当可能メモリ量とのチェックに問題がありオーバーフローが発生する。

PCNTL:
Fixed bug #68598 (pcntl_exec() should not allow null char). (CVE-2015-4026)

PHP 4.3以降に影響
pcntl_exec()がヌル文字インジェクションに脆弱。

PCRE:
Upgraded pcrelib to 8.37. (CVE-2015-2325, CVE-2015-2326)

PHP 4.3以降に影響
システムにインストールされたPCREライブラリが脆弱性に対応している場合、影響を受けない。未対応。
システムにインストールされたPCREライブラリを利用してビルドする必要がある。RHELの場合、システム
のPCREとリンクしている。

Phar:
Fixed bug #69453 (Memory Corruption in phar_parse_tarfile when entry filename starts with null). (CVE-2015-4021)

PHP 5.3以降に影響
ファイル名がヌル文字から始まる場合、メモリが破壊される。

詳しい情報はパッチのドキュメントを参照してください。