Skip to main content

PHP5.6.28リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

詳しい情報はパッチのドキュメントを参照してください。

◆ 2017/1/25
PHPプロジェクトのPHP 5.6.28リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています。


Core:
Fixed bug #73337 (try/catch not working with two exceptions inside a same operation).
バグフィックス


Bz2:
Fixed bug #73356 (crash in bzcompress function).
バグフィックス


GD:
■ Fixed bug #73213 (Integer overflow in imageline() with antialiasing).
対象:PHP 5.4/5.5
大きな値のパラメータで問題が発生する
パラメータの入力バリデーションをしていれば問題無し

 

Fixed bug #73272 (imagescale() is not affected by, but affects imagesetinterpolation()).
バグフィックス


■ Fixed bug #73279 (Integer overflow in gdImageScaleBilinearPalette()).
対象:PHP 5.5
大きな値のパラメータで問題が発生する

 

■ Fixed bug #73280 (Stack Buffer Overflow in GD dynamicGetbuf). (CVE-2016-8670)
対象:PHP 5.5/5.4/5.3/5.2/
細工した大きなイメージデータでスタックメモリが破壊される
パラメータの入力バリデーションをしていれば問題無し

 

■ Fixed bug #72482 (Illegal write/read access caused by gdImageAALine overflow).
対象:PHP 5.5/5.4/5.3/5.2/
不正な大きな値のパラメータで整数オーバーフローが発生する
パラメータの入力バリデーションをしていれば問題無し

 

■ Fixed bug #72696 (imagefilltoborder stackoverflow on truecolor images). (CVE-2016-9933)
対象:PHP 5.5/5.4/5.3/5.2/
不正な負の値のパラメーターを渡すとスタックオーバーフローが発生する。
パラメータの入力バリデーションをしていれば問題無し

 

Imap:
■ Fixed bug #73418 (Integer Overflow in "_php_imap_mail" leads Heap Overflow).
対象:PHP 5.5/5.4/5.3/5.2/
通常あり得ないサイズのパラメータで問題が発生する
メモリ制限で対策可能

 

SPL:
■ Fixed bug #73144 (Use-after-free in ArrayObject Deserialization).
対象:PHP 5.2以降
Unserialize問題

 

SOAP:
Fixed bug #73037 (SoapServer reports Bad Request when gzipped).
バグフィックス

SQLite3:
Fixed bug #73333 (2147483647 is fetched as string).
バグフィックス

Standard:
Fixed bug #73203 (passing additional_parameters causes mail to fail).
バグフィックス

Fixed bug #73188 (use after free in userspace streams).
バグフィックス

Fixed bug #73192 (parse_url return wrong hostname).
バグフィックス 


Wddx:
■ Fixed bug #73331 (NULL Pointer Dereference in WDDX Packet Deserialization with PDORow). (CVE-2016-9934)
対象:PHP 4.4以降
Unserialize問題