Skip to main content

PHP5.6.32リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

 

◆ 2017/11/01
PHPプロジェクトのPHP 5.6.32リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています

26 Oct 2017

Date:
■ Fixed bug #75055 (Out-Of-Bounds Read in timelib_meridian()).
PHP 5.3以降(32bit環境のみ)
日付文字列の定義の問題で不正なメモリ読み出しが発生する。

■ 互換性
問題なし

■ 攻撃方法
不正な日付文字列を送信する。

■ 影響
不正なメモリ読み出しが行われメモリ情報が漏洩する。


mcrypt:
■ Fixed bug #72535 (arcfour encryption stream filter crashes php).
PHP 5.3以降
正しくメモリを初期化しない為、クラッシュする。
PHP 5.2以下には該当する機能がない。

■ 互換性
問題なし

■ 攻撃方法
mcryptのストリームフィルタを使用しているリソースのデータを送る。

■ 影響
PHPがクラッシュする。場合によってはメモリ内容が漏洩する。


PCRE:
■ Fixed bug #75207 (applied upstream patch for CVE-2016-1283).
PHP 5.5以降
ダブルフリーによりメモリが破壊される。
PHP 5.4以下の場合、バンドルされているPCREライブラリに該当の”else"がない。

■ 互換性
問題なし

■ 攻撃方法
攻撃用の正規表現とデータを設定する。
例:
preg_match("/š(?:F?+(?:^(?(R)a+\"){99}-))(?J)(?'R'(?'R'<((?'RR'(?'R'\){97)?J)?J)(?'R'(?'R'\){99|(:(?|(?'R')(\k'R')|((?'R')))H'R'R)(H'R))))))/","$a*b\dc");

■ 影響
PHPがクラッシュする。不正なコードを実行される可能性もある。