PHP5.6.17/5.5.31対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.4/5.3/5.2/4.4/4.3に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

◆ 2016/1/29
PHPプロジェクトのPHP 5.5.31リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ／バグフィックスが報告されています

07 Jan 2016

    FPM:
        Fixed bug #70755 (fpm_log.c memory leak and buffer overflow).

4.3/4.4/5.2 - 影響なし
5.3/5.4 - 修正済み
php-X.X.X-5.5.31-fpm.patch

長いエラーメッセージを発生させるエラーによりSAPI内のメモリリークにより、サーバーが停止する。



    GD:
        Fixed bug #70976 (Memory Read via gdImageRotateInterpolated Array Index Out of Bounds). (CVE-2016-1903)

4.3/4.4/5.2/5.3/5.4 - 影響なし

配列の範囲を越えた読み込みが発生する。


    WDDX:
        Fixed bug #70661 (Use After Free Vulnerability in WDDX Packet Deserialization).
        Fixed bug #70741 (Session WDDX Packet Deserialization Type Confusion Vulnerability).

4.3/4.4/5.2/5.3/5.4 - 修正済み
php-X.X.X-5.5.31-wddx-serialize.patch

開放後のメモリへのアクセスおよびWDDXパケットのバリデーション漏れによるデータ型のミスマッチが発生しメモリ内容が漏洩する。

    XMLRPC:
        Fixed bug #70728 (Type Confusion Vulnerability in PHP_to_XMLRPC_worker()).

4.3/4.4/5.2/5.3/5.4 - 修正済み
php-X.X.X-5.5.31-xmlrpc.patch

XMLPRCリクエストのバリデーション漏れによるデータ型のミスマッチが発生しメモリ内容が漏洩する。
 

詳しい情報はパッチのドキュメントを参照してください。