ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.3対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.4.28に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.4.28
このリリースにはPHP 7.4で導入されて脆弱性が修正されています。他のPHPには影響しません。
=================================================================================
- Filter:
. Fix #81708: UAF due to php_filter_float() failing for ints
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.3対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.3のメンテナンス期間は2021年12月のリリースで終了しました。今後、PHP 7.3以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.4.27に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.4.27
このリリースはセキュリティメンテナンスのみになってから最初のリリースである為、バグフィックスと
脆弱性修正が混在しています。脆弱性修正はPCREのみです。
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.2対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.33に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.33
=================================================================================
XML:
Fixed bug #79971 (special character is breaking the path in xml function). (CVE-2021-21707)PHP 5.2以降
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.2対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.32に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.32
=================================================================================
FPM:
Fixed bug #81026 (PHP-FPM oob R/W in root process leading to privilege
escalation). (CVE-2021-21703) (Jakub Zelenka)PHP 5.3以降
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.2対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.31に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.31
=================================================================================
Zip:
Fixed bug #81420 (ZipArchive::extractTo extracts outside of destination). (CVE-2021-21706)PHP 5.2以降
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.2対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.30に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.30
=================================================================================
Phar:
Fixed bug #81211: Symlinks are followed when creating PHAR archive.PHP 5.3以降
Pharアーカイブを作るときにシンボリックリンクを辿ってアーカイブを作成する場合がある。
ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.2対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.29に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.29
=================================================================================
Core:
Fixed bug #81122: SSRF bypass in FILTER_VALIDATE_URL. (CVE-2021-21705)InputフィルターのFILTER_VALIDATE_URLが不正なURLを妥当なURLとして処理する。
驚かれる方が多いかもしれませんが…
大半のウェブサイトは、入口のセキュリティ対策「不正な侵入を拒否する」設計になっていません。
内部で不具合が起きてから対応する仕組みになっています。
外部から何が送られてくるか分からないから、
「いつ」「どこ」に「どんな」悪さをするか分からない「信頼できない」データの侵入を防ぐ対策を
今すぐ始めましょう!
不正アクセスによるデータ漏洩、データ改ざん、サービス妨害などの深刻な障害、
様々な誤作動(システムクラッシュや過度なメモリー消費、バグ)から御社のウェブサイトを
守るために、まずは「セキュアコーディング評価サービス」で御社サイト入口のセキュリティの現状を
確認して対策にお役立てください。
https://www.es-i.jp/services/secure-coding-evaluation