PHP 8.1.34リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.3〜8.0対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 8.1のメンテナンス期間は2025年12月のリリースで終了しました。今後、PHP 8.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

=================================================================================
- LibXML
 . Libxml versions prior to 2.13 cannot correctly handle a call to xmlNodeSetName() with a name longer than 2G.

※ この脆弱性修正は変更記録に記載されていない脆弱性修正です。

■ 影響バージョン
LibXML 2.13未満を利用する全てのPHP（PHP 4以降）

■ 互換性
特になし。
ただし、今までエラーが発生していなかった不正データでエラーが発生する。
標準入力データバリデーションを実装している場合、バリデーション時点で問題を検出できるため問題は発生しない。

■ 解説
ノード名が2GGBを超える場合、メモリへの不正読み取りが可能となる。
Web環境ではメモリリミット制限で攻撃ができない場合が多い。
通常ノード名が2GBを超えることはない。アプリケーションで標準入力データバリデーションを実装してれば問題は発生しない。

=================================================================================
- Opcache:
 . Reset global pointers to prevent use-after-free in zend_jit_status().
   (Florian Engelhardt)

■ 影響バージョン
PHP 8.0以降

■ 互換性
特になし。

■ 解説
解放後のポインターにアクセスする為、意図しない動作を起こす。

=================================================================================
- PDO:
 . Fixed GHSA-8xr5-qppj-gvwj (PDO quoting result null deref). (CVE-2025-14180)
   (Jakub Zelenka)

■ 影響バージョン
PHP 8.1.0以降

■ 互換性
特になし。
ただし、今までエラーが発生していなかった不正データでエラーが発生する。
標準入力データバリデーションを実装している場合、バリデーション時点で問題を検出できるため問題は発生しない。

■ 解説
エスケープ処理に失敗した場合のエラー処理がPHPのエラー・例外処理に反映できず、不正なデータが記録される可能性がある。
標準入力データバリデーションを正しく実装している場合、バリデーション時点で問題を検出できるため問題は発生しない。

=================================================================================
- Standard:
 . Fixed GHSA-www2-q4fc-65wf (Null byte termination in dns_get_record()).
   (ndossche)

■ 影響バージョン
ホスト名を扱う全てのPHP(少なくともPHP 4以降）

■ 互換性
特になし。
ただし、今までエラーが発生していなかったデータでエラーが発生する。
アプリケーションで標準入力データバリデーションを実装している場合、バリデーション時点で問題を検出できるため問題は発生しない。

■ 解説
ホスト名にヌル文字("\0")が含まれる場合、内部Cコードが文字列終端として処理しているためセキュリティフィルタを回避される場合がある。
アプリケーションで標準入力データバリデーションを正しく実装している場合、不正な文字データを検出するので問題は発生しない。

=================================================================================
- Standard:
 . Fixed GHSA-h96m-rvf9-jgm2 (Heap buffer overflow in array_merge()).
   (CVE-2025-14178) (ndossche)

■ 影響バージョン
全てのPHP(少なくともPHP 4以降。PHP3にも同様のバグがあると考えられる）

■ 互換性
特になし。
ただし、今までエラーが発生していなかった巨大・不正データでエラーが発生する。
アプリケーションで標準入力データバリデーションを実装している場合、バリデーション時点で問題を検出できるため問題は発生しない。
PHP 7.0 以下では以降のバージョンと同じく最大の要素数が半分となるが、メモリリミット制約があるので実用上の問題が発生する可能性はほぼ無い。（64ビット環境の場合。32ビット環境の場合は現実的な制約となる可能性があるが、PHPセキュリティ保守サービスは32ビット環境での使用をサポートしていない）

■ 解説
配列を結合する際に最大の要素数を考慮していない為、メモリを破壊し予期しない動作をする。
Web環境ではメモリリミット制限で攻撃ができない場合が多い。
アプリケーションで標準入力データバリデーションを正しく実装している場合、不正な文字データを検出するので問題は発生しない。

=================================================================================
- Standard:
 . Fixed GHSA-3237-qqm7-mfv7 (Information Leak of Memory in getimagesize).
   (CVE-2025-14177) (ndossche)

■ 影響バージョン
全てのPHP(少なくともPHP 4以降。PHP3にも同様のバグがあると考えられる）

■ 互換性
特になし。

■ 解説
メモリバッファサイズ計算の不具合によりメモリ内容が漏洩する。
この脆弱性が影響する場合、アプリケーションレベルでの対応は難しい。

=================================================================================
- Curl:
 . Fix curl build and test failures with version 8.16.
   (nielsdos, ilutov, Jakub Zelenka)

■ 影響バージョン
PHP 7.0以降。
PHP 5.xにはバックポートなし。

■ 解説
新しいcURLライブラリとのビルド問題の修正です。
セキュリティ脆弱性修正ではありません。