PHP5.6.18/5.5.32対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスPHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.4/5.3/5.2/4.4/4.3に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

◆ 2016/2/29
PHPプロジェクトのPHP 5.5.32リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています

- Core:
  . Fixed bug #71039 (exec functions ignore length but look for NULL termination).
    (Anatol)

対象:PHP 4.3/4.4/5.2/5.3/5.4
php-X.X.X-5.5.32-bug71029.patch
コマンド文にヌル文字が含まれる場合にコマンド文が全て利用されない。


  . Fixed bug #71323 (Output of stream_get_meta_data can be falsified by its
    input). (Leo Gaspard)

PHP 5.2/5.3/5.4
php-X.X.X-5.5.32-bug71323.patch
入力によってメタデータの内容を改ざんされる。


  . Fixed bug #71459 (Integer overflow in iptcembed()). (Stas)

対象:PHP 4.3/4.4/5.2/5.3/5.4
php-X.X.X-5.5.32-bug71459.patch
iptcembed関数内に整数オーバーフローがあり、不正なバッファサイズのメモリが割り当てられる。


- GD:
  . Improved the fix for bug #70976. (Remi)
影響なし


- PCRE:
  . Upgraded pcrelib to 8.38.
    CVE-2015-8383, CVE-2015-8386, CVE-2015-8387, CVE-2015-8389, CVE-2015-8390,
    CVE-2015-8391, CVE-2015-8393, CVE-2015-8394
対象:PHP 4.3/4.4/5.2/5.3/5.4
N/A
バンドルpcreライブラリの更新。この更新には対応していません。PCREを利用する場合、信頼できない正規表現を利用しないようにしてください。これはシステムのPCREライブラリとリンクしている場合も同じです。


- Phar:
  . Fixed bug #71354 (Heap corruption in tar/zip/phar parser). (Stas)
  . Fixed bug #71391 (NULL Pointer Dereference in phar_tar_setupmetadata()).
    (Stas)
  . Fixed bug #71488 (Stack overflow when decompressing tar archives). (Stas)

対象:PHP 5.3/5.4
php-X.X.X-5.5.32-phar.patch
ヒープ破壊、ヌルポインター参照、スタックオーバーフローによるメモリ破壊、不正参照。


- WDDX:
  . Fixed bug #71335 (Type Confusion in WDDX Packet Deserialization). (Stas)

対象:PHP 4.3/4.4/5.2/5.3/5.4
php-X.X.X-5.5.32-bug71335.patch
データ型バリデーションの欠落によるメモリ内容の不正漏洩。 

詳しい情報はパッチのドキュメントを参照してください。