PHP 7.4.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.3対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.4.33に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.4.33

================================================================================= 
- GD: 
  . Fixed bug #81739: OOB read due to insufficient input validation in 
    imageloadfont(). (CVE-2022-31630) (cmb)

■ 影響バージョン 
 PHP 7.0以降

■ 互換性 
 問題なし

■ 解説 
imageloadfont()の入力バリデーション不足により境界を超えたメモリ読み込みが発生する。 
外部フォントを読み込む場合、メモリ内容を不正に読み取られる。

================================================================================= 
- Hash: 
  . Fixed bug #81738: buffer overflow in hash_update() on long parameter. 
    (CVE-2022-37454) (nicky at mouha dot be)

■ 影響バージョン 
 PHP 7.2以降

■ 互換性 
 問題なし

■ 解説 
SHA3を利用しhash_update()の引数に整数を利用した場合にバッファーオーバーフローが発生する。 
これはPHP 7.2以降に導入されたリトルエンディアンCPU向け（Intel CPUなど）の最適化されたSHA3ハッシュ 
コードのメモリアドレス比較のバグが原因です。ビッグエンディアンのCPU（POWERプロセッサなど）では影響 
ありません。

通常、hash_update()は入力データをストリーミング処理する場合のみ利用される。この為、影響されるアプリ 
はあまり多くないと考えられる。