PHP 7.4.30リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.3対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.4.30に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.4.30

================================================================================= 
 - mysqlnd: 
    .Fixed bug #81719: mysqlnd/pdo password buffer overflow. (CVE-2022-31626)

■ 影響バージョン 
 PHP 5.4以降

■ 互換性 
 問題なし

■ 解説 
mysqlndのパスワードヘッダー長をバッファ計算に入れていない為オーバーフローする。mysqlndドライバーが使われているPDOやMySQLiモジュールに影響する。 
https://nvd.nist.gov/vuln/detail/CVE-2022-31626

■ 影響 
プロトコルヘッダー分のメモリが過少に割り当てられ、ネットワーク経由で送られたコマンド用データによりメモリが上書き破壊される。

================================================================================= 
 - pgsql: 
    .Fixed bug #81720: Uninitialized array in pg_query_params(). (CVE-2022-31625)

■ 影響バージョン 
 PHP 5.2以降（恐らくこれ以前のバージョンにも影響）

■ 互換性 
 問題なし

■ 解説 
pgsqlのpg_query_params関数/pg_send_execute関数内のエラー処理コードのバグにより、未初期化の配列メモリへのアクセスが発生する。 
PHP 7.1以下ではpg_send_query_params関数/pg_execute関数でも同じ問題が発生する。 
https://nvd.nist.gov/vuln/detail/CVE-2022-31625

■ 影響 
未初期化メモリにデストラクターがアクセスする。このようなメモリアクセスはDoS攻撃や任意コード実行に利用される可能性がある。