PHP 8.0.28リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.4対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.4のメンテナンス期間は2022年12月のリリースで終了しました。今後、PHP 7.4以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

CVE-2023-0662はほぼ全てのPHPバージョンと全てのSAPI（Nginx、Apache, CGI, CLI Server, etc）に影響し、容易にDoS状態にできる危険性が高い脆弱性です。早めの更新をお勧めします。

以下はPHP 8.0.28に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 8.0.28

================================================================================= 
- Core: 
  . Fixed bug #81744 (Password_verify() always return true with some hash). 
    (CVE-2023-0567). (Tim Düsterhus)

■ 影響バージョン 
PHP 5.3以降

■ 互換性 
問題なし

■ 解説 
不正なBlowfishパスワードハッシュ文字列でpassword_verify()が誤ってTRUEを返す場合や不正なblowfishハッシュでメモリの不正読み込みが発生する。 
不正なblowfishハッシュ文字列をパスワードデータベースに書き込める場合、実質的に認証機能がないアカウントを作成したり、特定のユーザーのログイン時にPHPをクラッシュさせたりできる。

このバグに関連するphp_crypt()での空のソルトによるオーバーリード問題も修正している。

これらの脆弱性は正常なパスワードハッシュ文字列の場合、問題は発生しない。

================================================================================= 
- Core: 
  . Fixed bug #81746 (1-byte array overrun in common path resolve code). 
    (CVE-2023-0568). (Niels Dossche)

■ 影響バージョン 
PHP 5.2以降 (実際には以前のバージョンにも影響する)

■ 互換性 
問題なし

■ 解説 
XMLReaderとOpen Basedirの関数で関数のローカル変数にスタティックに割り当てられたメモリサイズが1バイト小さい為、1バイトのNULL上書きがMAXPATHLENの長さのパスで可能になる。 
（過去に1バイトのNULL文字書き込みで任意コード実行が可能になったケースがあったが、今回の問題ではその　可能性はない）

================================================================================= 
- SAPI: 
  . Fixed bug GHSA-54hq-v5wp-fqgv (DOS vulnerability when parsing multipart 
    request body). (CVE-2023-0662) (Jakub Zelenka)

■ 影響バージョン 
PHP 5.2以降 (実際には以前のバージョンにも影響する)

■ 互換性 
通常は問題なし。

■ 解説 
テストファイルはphp-fpmに追加されているが、全てのSAPIに影響する。多数のMultipart request bodyを持つリクエストを送信することにより、PHPをDoS状態にできる。 
この脆弱性は悪意のリモートの攻撃者によって容易に悪用できる。

新しいINI設定（ max_multipart_body_parts = -1 #マルチパートを許可しない）が追加されている。問題がある場合はINI設定を変更し、許可するパート数を指定する。通常はマルチパート不許可で問題ない。