PHP 7.2.29リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービスではPHP 4.4以降のPHPに既知のセキュリティ問題を修正したバージョンをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.29に対応したPHPセキュリティ保守サービスのリリースノートです。
19 Mar 2020
=================================================================================
Core:
Fixed bug #79329 (get_headers() silently truncates after a null byte) (CVE-2020-7066) (cmb)PHP 5.2以降 (PHP5.2/5.3は対応済)
get_headers()関数が第一引数のURLパラメーターをヌル文字で文字列を丸める為、バリデーションなどのセキュリティ操作を回避できる。
※ ヌル文字を含むパス情報処理方法を変えた際の修正ミスと思われる。
■ 互換性
問題なし■ 影響
セキュリティフィルタなどを回避した攻撃が行われる。不正なURLにアクセスさせられる。
=================================================================================
EXIF:
Fixed bug #79282 (Use-of-uninitialized-value in exif) (CVE-2020-7064) (Nikita)PHP 4.4以降
JPEGファイルのExif情報を処理する際の入力バリデーション不足により未初期化のメモリにアクセスできる。
■ 互換性
問題なし■ 影響
不正にメモリ内容を取得される。PHPがクラッシュする。