PHP 7.4.32リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.3対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.4.32に対応したPHPセキュリティ保守サービスのリリースノートです。

注： PHP 7.4.31のリリースはキャンセルされた為、欠番になっています。

PHP 7.4.32

※ 7.4.31のリリースはキャンセルされた為、PHP 7.4.31は欠番です。

================================================================================= 
 ｰ Core 
     .Fixed bug #81726: phar wrapper: DOS when using quine gzip file. (CVE-2022-31628)

■ 影響バージョン 
 PHP 5.4以降

■ 互換性 
 問題なし

■ 解説 
細工したPharファイルを読込むと、無限ループを発生させることが可能となる。PharファイルはPHPストリームラッパー 
として実装されているのでほぼ全てのファイル関数が影響を受ける。ユーザーからのファイルアップロードをサポートする 
アプリケーションでは対策が必須です。

■ 影響 
PHPプロセスが無限ループに陥りDoS状態になる。

================================================================================= 
 ｰ Core 
    .Fixed bug #81727: Don't mangle HTTP variable names that clash with ones that have a specific semantic meaning. (CVE-2022-31629)

■ 影響バージョン 
 PHP 5.2以降 (恐らく全てのPHPバージョン)

■ 互換性 
 問題なし

■ 解説 
クライアントが利用するセキュリティ関連クッキー設定がPHPの変数名変更機能により改名され機能しなくなる。具体的には__Host-と__Secure-プレフィックスを持つクッキー 
名がPHPのルールに則った改名が行われると、サブドメインによるクッキー書き変え防止する機能、HTTPSのみでの送信する機能が動作しなくなる。

参考： https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies

■ 影響 
クライアントのクッキーセキュリティ機能が機能しなくなる。