PHP5.5.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.4/5.3/5.2/4.4/4.3に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

◆ 2016/3/31
PHPプロジェクトのPHP 5.5.34リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ／バグフィックスが報告されています

31 Mar 2016

Fileinfo:
Fixed bug #71527 (Buffer over-write in finfo_open with malformed magic file).
対象: PHP 5.3/5.4
不正なmagicファイルが利用された場合、バッファーオーバーフローによる書き込みが発生する。


Mbstring:
Fixed bug #71906 (AddressSanitizer: negative-size-param (-1) in mbfl_strcut).
対象: PHP 4.3/4.4/5.2/5.3/5.4
mbfl_strcut()に負の値をパラメータとして渡した場合に不正なメモリアロケーションが行われる。

ODBC: (Pharの間違い）
Fixed bug #71860 (Invalid memory write in phar on filename with \0 in name).
対象: PHP 5.3/5.4
ファイル名がヌル文字の場合に不正なメモリ書き込みが発生する。


SNMP:
Fixed bug #71704 (php_snmp_error() Format String Vulnerability).
対象: PHP 5.4
エラー出力の際のフォーマット文字列にパラメータの渡し漏れがある。


Standard:
Fixed bug #71798 (Integer Overflow in php_raw_url_encode).
対象: PHP 4.3/5.2/5.3/5.4
内部のURLエンコード関数に整数オーバーフロー問題がある。 

詳しい情報はパッチのドキュメントを参照してください。