ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.2対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.31に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.31

================================================================================= 
Zip: 
Fixed bug #81420 (ZipArchive::extractTo extracts outside of destination). (CVE-2021-21706)

PHP 5.2以降

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.2対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.30に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.30

================================================================================= 
Phar: 
Fixed bug #81211: Symlinks are followed when creating PHAR archive.

PHP 5.3以降

Pharアーカイブを作るときにシンボリックリンクを辿ってアーカイブを作成する場合がある。

ESIのPHPセキュリティ保守サービス（PHP 5.2〜7.2対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.29に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.29

================================================================================= 
Core: 
  Fixed bug #81122: SSRF bypass in FILTER_VALIDATE_URL. (CVE-2021-21705)

InputフィルターのFILTER_VALIDATE_URLが不正なURLを妥当なURLとして処理する。

驚かれる方が多いかもしれませんが…

大半のウェブサイトは、入口のセキュリティ対策「不正な侵入を拒否する」設計になっていません。

内部で不具合が起きてから対応する仕組みになっています。

外部から何が送られてくるか分からないから、

「いつ」「どこ」に「どんな」悪さをするか分からない「信頼できない」データの侵入を防ぐ対策を

今すぐ始めましょう！

不正アクセスによるデータ漏洩、データ改ざん、サービス妨害などの深刻な障害、

様々な誤作動（システムクラッシュや過度なメモリー消費、バグ）から御社のウェブサイトを

守るために、まずは「セキュアコーディング評価サービス」で御社サイト入口のセキュリティの現状を

確認して対策にお役立てください。

https://www.es-i.jp/services/secure-coding-evaluation

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.28に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.28

================================================================================= 
- Imap: 
  . Fixed bug #80710 (imap_mail_compose() header injection).

PHP 5.2 以降（恐らくIMAPをサポートする全てのPHP）

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.27に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.26のセキュリティ修正に誤りが在り、リリースノートには未記載ですがその問題が7.3.27で修正されています。この為、このリリースは2つバージョンのセキュリティ修正を同時に直した形でリリースしています。

PHP 7.3.27/7.3.26

PHP 7.3.27ではPHP 7.3.26のURLバリデーションの修正が含まれている。この為、この 
パッチセットは2つのバージョン一つのパッチセットとしてリリースしています。

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.2.34に対応したPHPセキュリティ保守サービスのリリースノートです。

01 Oct 2020, PHP 7.2.34

================================================================================= 
- Core: 
  . Fixed bug #79699 (PHP parses encoded cookie names so malicious `__Host-` 
    cookies can be sent). (CVE-2020-7070) (Stas)

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.2.33に対応したPHPセキュリティ保守サービスのリリースノートです。

06 Aug 2020, PHP 7.2.33

================================================================================= 
- Core: 
  . Fixed bug #79877 (getimagesize function silently truncates after a null 
    byte) (cmb)

PHP 5.3以降