PHP 8.0.28リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.4対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.4のメンテナンス期間は2022年12月のリリースで終了しました。今後、PHP 7.4以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
CVE-2023-0662はほぼ全てのPHPバージョンと全てのSAPI(Nginx、Apache, CGI, CLI Server, etc)に影響し、容易にDoS状態にできる危険性が高い脆弱性です。早めの更新をお勧めします。
以下はPHP 8.0.28に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 8.0.28
=================================================================================
- Core:
. Fixed bug #81744 (Password_verify() always return true with some hash).
(CVE-2023-0567). (Tim Düsterhus)■ 影響バージョン
PHP 5.3以降■ 互換性
問題なし■ 解説
不正なBlowfishパスワードハッシュ文字列でpassword_verify()が誤ってTRUEを返す場合や不正なblowfishハッシュでメモリの不正読み込みが発生する。
不正なblowfishハッシュ文字列をパスワードデータベースに書き込める場合、実質的に認証機能がないアカウントを作成したり、特定のユーザーのログイン時にPHPをクラッシュさせたりできる。このバグに関連するphp_crypt()での空のソルトによるオーバーリード問題も修正している。
これらの脆弱性は正常なパスワードハッシュ文字列の場合、問題は発生しない。
=================================================================================
- Core:
. Fixed bug #81746 (1-byte array overrun in common path resolve code).
(CVE-2023-0568). (Niels Dossche)■ 影響バージョン
PHP 5.2以降 (実際には以前のバージョンにも影響する)■ 互換性
問題なし■ 解説
XMLReaderとOpen Basedirの関数で関数のローカル変数にスタティックに割り当てられたメモリサイズが1バイト小さい為、1バイトのNULL上書きがMAXPATHLENの長さのパスで可能になる。
(過去に1バイトのNULL文字書き込みで任意コード実行が可能になったケースがあったが、今回の問題ではその 可能性はない)=================================================================================
- SAPI:
. Fixed bug GHSA-54hq-v5wp-fqgv (DOS vulnerability when parsing multipart
request body). (CVE-2023-0662) (Jakub Zelenka)■ 影響バージョン
PHP 5.2以降 (実際には以前のバージョンにも影響する)■ 互換性
通常は問題なし。■ 解説
テストファイルはphp-fpmに追加されているが、全てのSAPIに影響する。多数のMultipart request bodyを持つリクエストを送信することにより、PHPをDoS状態にできる。
この脆弱性は悪意のリモートの攻撃者によって容易に悪用できる。新しいINI設定( max_multipart_body_parts = -1 #マルチパートを許可しない)が追加されている。問題がある場合はINI設定を変更し、許可するパート数を指定する。通常はマルチパート不許可で問題ない。