PHP 8.1.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.3〜8.0対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 8.0のメンテナンス期間は2023年12月のリリースで終了しました。今後、PHP 8.0以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

03 Jul 2025, PHP 8.1.33

=================================================================================
- PGSQL:
 . Fixed GHSA-hrwm-9436-5mv3 (pgsql extension does not check for errors during
   escaping). (CVE-2025-1735) (Jakub Zelenka)

■ 影響バージョン
PHP 5.3以降

■ 互換性
不正な文字エンコーディングの文字列をエスケープした場合、エラーが発生し空文字列が変える。
（アプリケーションは入力処理時点で不正文字エンコーディングでないことをバリデーションしなければならない）

■ 解説
この修正以前では不正文字エンコーディングの文字列でクラッシュする。修正後はエラー・例外が生成され、空文字列が返される為、エラーハンドラ・例外ハンドラで処理を中止するベストプラクティスに従っていない場合、不正なデータを含んでいたデータが挿入・更新される場合がある。

=================================================================================
- SOAP:
 . Fixed GHSA-453j-q27h-5p8x (NULL Pointer Dereference in PHP SOAP Extension
   via Large XML Namespace Prefix). (CVE-2025-6491) (Lekssays, nielsdos)

■ 影響バージョン
PHP 5.3以降

■ 互換性
特になし

■ 解説
非常に大きな名前空間プレフィックスの場合にヌルポインター参照が発生しクラッシュする。

=================================================================================
- Standard:
 . Fixed GHSA-3cr5-j632-f35r (Null byte termination in hostnames).
   (CVE-2025-1220) (Jakub Zelenka)

■ 影響バージョン
PHP 5.3以降

■ 互換性
特になし

■ 解説
fopen wrapperでHTTPなどのリモートファイルにアクセスする場合、ホスト名にヌル文字が含まれているとヌル文字が文字列終端として扱われていた。この動作の為に緩い入力データバリデーションを行うアプリケーションのセキュリティフィルターなどを回避される可能性があった。修正後は途中にヌル文字が含まれる場合はエラーとなり処理が中止される。