PHP 7.2.34リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.34に対応したPHPセキュリティ保守サービスのリリースノートです。
01 Oct 2020, PHP 7.2.34
=================================================================================
- Core:
. Fixed bug #79699 (PHP parses encoded cookie names so malicious `__Host-`
cookies can be sent). (CVE-2020-7070) (Stas)PHP 4.4以降
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Attributes
で定義される特殊クッキー名がデコードされ、本来外部から設定不可能であるべき特殊クッキー名を設定
される可能性がある。■ 互換性
問題無し
ただし、クッキー名がデコードされる”バグ”に依存している場合、問題が発生する可能性がある。■ 影響
不正なサイトを信頼可能なサイトと誤認識する可能性がある。=================================================================================
- OpenSSL:
. Fixed bug #79601 (Wrong ciphertext/tag in AES-CCM encryption for a 12
bytes IV). (CVE-2020-7069) (Jakub Zelenka)PHP 7.0以降
IVのバリデーションが不十分で不正なIVを許可する
■ 互換性
7バイトにトランケートされていたIVが12バイト利用されるようになるため、互換性問題が発生する。■ 影響
IVがトランケートされる為、不必要に暗号強度が低下される。