Skip to main content

PHP5.6.38リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。(PHP 5.6/7.0のサポート終了は2018年12月です。2019年からPHP 5.6/7.0もサポート対象です)

以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。

 

◆ 2016/9/19
PHPプロジェクトのPHP 5.5.38リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています


13 Sep 2018
Apache2:
■ Fixed bug #76582 (XSS due to the header Transfer-Encoding: chunked).
PHP 4.4以降 
Chunked encodingを利用した場合、不正なリクエストを送信することにより攻撃者が任意のデータを送信できる。
 

備考: この脆弱性を攻撃するにはPOSTリクエストがキャッシュされる必要があります。通常、プロキシサーバーはPOSTリクエストをキャッシュしません。PHPのメモリバッファではなく、Apache httpdサーバーのメモリバッファに残った不正なデータが送信されるため、PHPのob_start()などを使った出力バッファでキャッシュを行った場合もキャッシュされません。このため、脆弱性の説明から感じられる危険性ほど大きなリスクはありません。ただし、何らかの理由でPOSTリクエストもプロキシサーバーでキャッシュしている場合の影響は致命的です。最近利用されている方は少ないと思いますが、mod_cacheはキャッシュするので注意が必要です。