PHP 7.4.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.3対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.4.33に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.4.33
=================================================================================
- GD:
. Fixed bug #81739: OOB read due to insufficient input validation in
imageloadfont(). (CVE-2022-31630) (cmb)■ 影響バージョン
PHP 7.0以降■ 互換性
問題なし■ 解説
imageloadfont()の入力バリデーション不足により境界を超えたメモリ読み込みが発生する。
外部フォントを読み込む場合、メモリ内容を不正に読み取られる。
=================================================================================
- Hash:
. Fixed bug #81738: buffer overflow in hash_update() on long parameter.
(CVE-2022-37454) (nicky at mouha dot be)■ 影響バージョン
PHP 7.2以降■ 互換性
問題なし■ 解説
SHA3を利用しhash_update()の引数に整数を利用した場合にバッファーオーバーフローが発生する。
これはPHP 7.2以降に導入されたリトルエンディアンCPU向け(Intel CPUなど)の最適化されたSHA3ハッシュ
コードのメモリアドレス比較のバグが原因です。ビッグエンディアンのCPU(POWERプロセッサなど)では影響
ありません。通常、hash_update()は入力データをストリーミング処理する場合のみ利用される。この為、影響されるアプリ
はあまり多くないと考えられる。