Skip to main content

PHP 8.1.30リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス(PHP 5.2〜8.0対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 8.0のメンテナンス期間は2023年12月のリリースで終了しました。今後、PHP 8.0以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
 
PHP 8.1.30

=================================================================================
- CGI:
  . Fixed bug GHSA-p99j-rfp4-xqvq (Bypass of CVE-2024-4577, Parameter Injection
    Vulnerability). (CVE-2024-8926) (nielsdos)

■ 影響バージョン
すべてのPHP CGI

■ 互換性
CGIのパラメーターパースを無効化したため、コマンド引数を渡せなくなる。

■ 解説
Windows版PHP CGIでWindows OSが文字エンコーディングを自動認識し、自動的に適切と
思われる文字エンコーディングに変換してしまう仕様により、任意コマンド実行が可能とな
る問題です。実際に攻撃が確認されている問題でランサムウェア攻撃等に利用されています。
互換性問題は発生しますが、完全に防止するにはWindows版でのコマンド引数処理をスキップ
することで対策するパッチです。
Linux版も安全性の為にコマンド引数の処理が省略されます。CGIを利用される場合、変更が影響ないか確認が必要です。


=================================================================================
- CGI:
  . Fixed bug GHSA-94p6-54jq-9mwp (cgi.force_redirect configuration is
    bypassable due to the environment variable collision). (CVE-2024-8927)
    (nielsdos)

■ 影響バージョン
すべてのPHP CGI

■ 互換性
問題なし。

■ 解説
Apache HTTPDからPHP CGIを利用している場合にのみ影響する。環境変数の衝突により
cgi.force_redirect設定がバイパス可能となる。


=================================================================================
- FPM:
  . Fixed bug GHSA-865w-9rf3-2wh5 (Logs from childrens may be altered).
    (CVE-2024-9026) (Jakub Zelenka)

■ 影響バージョン
すべてのPHP FPM

■ 互換性
問題なし。

■ 解説
PHP FPMのログが攻撃者により改ざん可能となる。


=================================================================================
- SAPI:
  . Fixed bug GHSA-9pqp-7h25-4f32 (Erroneous parsing of multipart form data).
    (CVE-2024-8925) (Arnaud)

■ 影響バージョン
すべてのWeb SAPI PHP(ApacheやFPM,CGIなど)

■ 互換性
問題なし。
ただし、RFCで規定された5KB以上のバウンダリを設定している場合はPOSTパラメータ
処理が動作しなくなる。(通常は5KBを超えるバウンダリを設定することはあり得ない)

■ 解説
マルチパートフォームデータ(POSTリクエスト)に大きなバウンダリを設定するとPOST
データの処理が正しく行えない。具体的に攻撃を行うPoCなどは提示されていないが、以前
に修正したマルチパートフォームデータのパース問題を利用したDoS攻撃などが可能となる
可能性がある。
 
 
※本メールが必要ない場合は、大変お手数ですが下記メールアドレスまでご連絡下さい。