PHP 8.0.29リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.4対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.4のメンテナンス期間は2022年12月のリリースで終了しました。今後、PHP 7.4以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 8.0.29に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 8.0.29
=================================================================================
- SOAP:
. Fixed bug GHSA-76gg-c692-v2mw (Missing error check and insufficient random bytes in HTTP Digest authentication for SOAP). (CVE-2023-3247)SOAP認証が脆弱なnonceを利用していることによるりパスワードが解析しやい脆弱性を修正。
■ 影響バージョン
PHP 5.2以降■ 互換性
問題なし■ 解説
PHP 7.1以降では非常に脆弱な8バイトのnonceがSOAP認証に使われていた。このためパスワードが解
析されるリスクが高くなっていた。
PHP 7.0では脆弱なOS依存の暗号学的に安全でないPRNGを使ったnonceが認証に使われていた。
SOAPをサポートするすべてのPHPに影響するが、CSPRNGを使った十分な長さのnonceはPHP 7.0
以降でのみバックポートしました。これはPHP 5.xにはクロスプラットホームの信頼性の高いCSPRNG
を利用する仕組みが実装されていない為です。PHP 5.xでは十分な安全性を持たないPRNGが使用されて
いますが、直ちにパスワードが解析されるといったリスクはありません。また、十分に安全性の高い
ランダムなパスワードを使用している場合はほぼリスクはありません。