PHP 7.2.28リリース対応 PHPセキュリティ保守サービス パッチ配布開始
PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。ESIのPHPセキュリティ保守サービスではPHP 4.4以降のPHPに既知のセキュリティ問題を修正したバージョンをご利用頂けます。
以下はPHP 7.2.28に対応したPHPセキュリティ保守サービスのリリースノートです。
20 Feb 2020, PHP 7.2.28 ================================================================================= - DOM: . Fixed bug #77569: (Write Access Violation in DomImplementation). (Nikita, cmb) PHP 7.0以降 不正なメモリ書き込みが発生する。 ■ 互換性 問題なし ■ 影響 メモリ破壊攻撃が可能となる場合がある。 ================================================================================= - Phar: . Fixed bug #79082 (Files added to tar with Phar::buildFromIterator have all-access permissions). (CVE-2020-7063) (stas) PHP 5.3以降 Pharファイルの作成時に全てのユーザーに読み書き可能な権限が与えられる。 ■ 互換性 問題なし ■ 影響 サーバーにアクセス可能なユーザーによりファイルを不正に改竄される可能性がある。 ================================================================================= - Session: . Fixed bug #79221 (Null Pointer Dereference in PHP Session Upload Progress). (CVE-2020-7062) (stas) PHP 5.4以降 ファイルアップロード処理時にヌルポインター参照が発生し、PHPプロセスがクラッシュする。 ■ 互換性 問題なし ■ 影響 スレッドを利用したPHP実行環境でDoS攻撃が可能となる。FCGI/Apache Prefork MPMでは影響を 受けるが有効なDoS攻撃は行えない。 ================================================================================= - Standard: . Fixed bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059). (cmb) PHP 4.4以降 ※ PHP 7.2.27で修正された問題ですが、不十分な修正であったため追加の修正が行われました。 この修正はPHP 7.2.28のリリースノートには未記載ですが、修正は行われています。 strip_tags()の実行時に範囲外のメモリを読み込む場合がある。 攻撃用データをstrip_tags()で処理するとメモリ内容の一部が暴露する。 ■ 互換性 問題無し ■ 影響 メモリ内容が漏洩する。(メモリ内容の漏洩は他のメモリ破壊攻撃や秘密情報漏洩に利用される場合がある)