Skip to main content

PHP 7.4.27リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.3対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.4.27に対応したPHPセキュリティ保守サービスのリリースノートです。

 

PHP 7.4.27

このリリースはセキュリティメンテナンスのみになってから最初のリリースである為、バグフィックスと  
脆弱性修正が混在しています。

脆弱性修正はPCREのみです。

=================================================================================  
- Core:  
  . Fixed bug #81626 (Error on use static:: in __сallStatic() wrapped to  
    Closure::fromCallable()). (Nikita)

脆弱性修正ではなくバグフィックスです。

■ 互換性  
問題無し

■ 影響  
N/A


=================================================================================  
- FPM:  
  . Fixed bug #81513 (Future possibility for heap overflow in FPM zlog).  
    (Jakub Zelenka)

PHP 7.3以降

FPMのメモリが十分に割り当てられず、ヒープオーバーフローが発生する。ログの内容的に自由操作不可能であるためバグ修正として修正されている。

■ 互換性  
問題無し

■ 影響  
N/A


=================================================================================  
- GD:  
  . Fixed bug #71316 (libpng warning from imagecreatefromstring). (cmb)

脆弱性修正ではなくバグフィックスです。

■ 互換性  
問題無し

■ 影響  
N/A


=================================================================================  
- OpenSSL:  
  . Fixed bug #75725 (./configure: detecting RAND_egd). (Dilyan Palauzov)

脆弱性修正ではなくバグフィックスです。

■ 互換性  
問題無し

■ 影響  
N/A


=================================================================================  
- PCRE:  
  . Fixed bug #74604 (Out of bounds in php_pcre_replace_impl). (cmb, Dmitry)

PHP 7.0以降

PCREモジュールで大きな大きな入力データに対するpreg_repalce()でオーバーフローが発生する。  
PHP文字列の最大値周辺での整数オーバーフローによるヒープオーバーフローであるため、通常は32bit環境のCLI PHPでのみ影響があります。(一般にWeb環境ではメモリ制限により影響を受けない)

■ 互換性  
問題無し

■ 影響  
任意コードを実行される可能性がある


=================================================================================  
- Standard:  
  . Fixed bug #81618 (dns_get_record fails on FreeBSD for missing type).  
    (fsbruva)

脆弱性修正ではなくバグフィックスです。

■ 互換性  
問題無し

■ 影響  
N/A


=================================================================================  
  . Fixed bug #81659 (stream_get_contents() may unnecessarily overallocate).  
    (cmb)

脆弱性修正ではなくバグフィックスです。通常この余計なメモリ割り当てはセキュリティ問題になりません。

■ 互換性  
問題無し

■ 影響  
N/A