PHP 8.0.30リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.4対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.4のメンテナンス期間は2022年12月のリリースで終了しました。今後、PHP 7.4以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 8.0.30に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 8.0.30

=================================================================================  
- Libxml:  
 . Fixed bug GHSA-3qrf-m4j2-pcrr (Security issue with external entity loading  
   in XML without enabling it). (CVE-2023-3823) (nielsdos, ilutov)

LibXMLで外部エンティティをロードする際に任意コードを実行する場合があるため無効化する。

■ 影響バージョン  
libxmlをサポートするすべてのPHP(PHP 4以降)

■ 互換性  
通常は問題なし  
Process Instructionを利用している場合は別途処理する必要がある

■ 解説  
LibXML2を利用している  
- LibXML  
- DOM  
- SimpleXML  
- XMLReader  
- SOAP  
と  
- XML  
モジュールで外部エンティティを無効化していないためProcess Instructionを使って  
任意コードを実行できる。  
このパッチでは外部エンティティの読み込みを無効化してコード実行を不可能にする

=================================================================================  
- Phar:  
 . Fixed bug GHSA-jqcx-ccgc-xwhv (Buffer mismanagement in phar_dir_read()).  
   (CVE-2023-3824) (nielsdos)

phar_dir_read()でメモリ内容の不正読み取りが可能となる。

■ 影響バージョン  
PHP 5.3以降

■ 互換性  
問題なし

■ 解説  
細工したPharアーカイブのディレクトリを読み込んだ際に不正なメモリ読み取りが可能となる。  
他のメモリ管理問題と組み合わせてより影響度の高い攻撃に利用される可能性がある。