PHP 8.0.29リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.4対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.4のメンテナンス期間は2022年12月のリリースで終了しました。今後、PHP 7.4以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 8.0.29に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 8.0.29

================================================================================= 
- SOAP: 
 . Fixed bug GHSA-76gg-c692-v2mw (Missing error check and insufficient random bytes in HTTP Digest authentication for SOAP). (CVE-2023-3247)

SOAP認証が脆弱なnonceを利用していることによるりパスワードが解析しやい脆弱性を修正。

■ 影響バージョン 
PHP 5.2以降

■ 互換性 
問題なし

■ 解説 
PHP 7.1以降では非常に脆弱な8バイトのnonceがSOAP認証に使われていた。このためパスワードが解 
析されるリスクが高くなっていた。 
PHP 7.0では脆弱なOS依存の暗号学的に安全でないPRNGを使ったnonceが認証に使われていた。 
SOAPをサポートするすべてのPHPに影響するが、CSPRNGを使った十分な長さのnonceはPHP 7.0 
以降でのみバックポートしました。これはPHP 5.xにはクロスプラットホームの信頼性の高いCSPRNG 
を利用する仕組みが実装されていない為です。PHP 5.xでは十分な安全性を持たないPRNGが使用されて 
いますが、直ちにパスワードが解析されるといったリスクはありません。また、十分に安全性の高い 
ランダムなパスワードを使用している場合はほぼリスクはありません。