PHP5.6.30リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

詳しい情報はパッチのドキュメントを参照してください。

◆ 2017/2/25
PHPプロジェクトのPHP 5.6.30リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ／バグフィックスが報告されています

19 Jan 2017

EXIF:
■ Fixed bug #73737 (FPE when parsing a tag format). (CVE-2016-10158)
型の不整合で不正メモリアクセスが発生しクラッシュする。
PHP 4.4/5.2/5.3/5.4/5.5

GD:
■ Fixed bug #73549 (Use after free when stream is passed to imagepng).
imagepngにストリームを渡した場合に開放済メモリアクセスが発生する。
PHP 5.4/5.5

■ Fixed bug #73868 (DOS vulnerability in gdImageCreateFromGd2Ctx()). (CVE-2016-10167)
GD2形式の不正な画像で処理が終了しない。
PHP 4.4/5.2/5.3/5.4/5.5

■ Fixed bug #73869 (Signed Integer Overflow gd_io.c). (CVE-2016-10168)
GD2形式の不正な画像により整数オーバーフローを原因とする不正メモリアクセスが発生する。
PHP 4.4/5.2/5.3/5.4/5.5

Intl:
Fixed bug #68447 (grapheme_extract take an extra trailing character).
バグフィックス

Phar:
■　Fixed bug #73764 (Crash while loading hostile phar archive). (CVE-2016-10159)
PHP 5.3/5.4/5.5
不正なpharファイルでクラッシュする。

■ Fixed bug #73768 (Memory corruption when loading hostile phar). (CVE-2016-10160)
PHP 5.3/5.4/5.5
不正なpharファイルでメモリ破壊が発生する。

■ Fixed bug #73773 (Seg fault when loading hostile phar).
PHP 5.3/5.4/5.5
不正なpharファイルでクラッシュする。

SQLite3:
Reverted fix for bug #73530 (Unsetting result set may reset other result set).
PHP 5.3/5.4/5.5
バグフィックス

Standard:
■ Fixed bug #70213 (Unserialize context shared on double class lookup).
PHP 5.4/5.5
攻撃には__autoload()を使用した特別なPHPコードが必要です。

■　Fixed bug #73825 (Heap out of bounds read on unserialize in finish_nested_data()). (CVE-2016-10161)
PHP 5.4/5.5
不正なオブジェクト形式のシリアル化データでメモリの不正読み込みが発生する。