驚かれる方が多いかもしれませんが…
大半のウェブサイトは、入口のセキュリティ対策「不正な侵入を拒否する」設計になっていません。
内部で不具合が起きてから対応する仕組みになっています。
外部から何が送られてくるか分からないから、
「いつ」「どこ」に「どんな」悪さをするか分からない「信頼できない」データの侵入を防ぐ対策を
今すぐ始めましょう!
不正アクセスによるデータ漏洩、データ改ざん、サービス妨害などの深刻な障害、
様々な誤作動(システムクラッシュや過度なメモリー消費、バグ)から御社のウェブサイトを
守るために、まずは「セキュアコーディング評価サービス」で御社サイト入口のセキュリティの現状を
確認して対策にお役立てください。
https://www.es-i.jp/services/secure-coding-evaluation
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.28に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.28
=================================================================================
- Imap:
. Fixed bug #80710 (imap_mail_compose() header injection).PHP 5.2 以降(恐らくIMAPをサポートする全てのPHP)
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.27に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.26のセキュリティ修正に誤りが在り、リリースノートには未記載ですがその問題が7.3.27で修正されています。この為、このリリースは2つバージョンのセキュリティ修正を同時に直した形でリリースしています。
PHP 7.3.27/7.3.26
PHP 7.3.27ではPHP 7.3.26のURLバリデーションの修正が含まれている。この為、この
パッチセットは2つのバージョン一つのパッチセットとしてリリースしています。
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.34に対応したPHPセキュリティ保守サービスのリリースノートです。
01 Oct 2020, PHP 7.2.34
=================================================================================
- Core:
. Fixed bug #79699 (PHP parses encoded cookie names so malicious `__Host-`
cookies can be sent). (CVE-2020-7070) (Stas)
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.33に対応したPHPセキュリティ保守サービスのリリースノートです。
06 Aug 2020, PHP 7.2.33
=================================================================================
- Core:
. Fixed bug #79877 (getimagesize function silently truncates after a null
byte) (cmb)PHP 5.3以降
このバージョンに対応したPHPセキュリティ保守サービスリリースはございません。
Windowsバイナリ配布版のみ影響します。
09 Jul 2020, PHP 7.2.32
- Core:
. No source changes to this release.
Vesion number added for reproduction of Windows builds. (cmb)
Windowsバイナリ以外に影響なし。Windowsバイナリビルドに添付されていたライブラリの更新。
ESIのPHPセキュリティ保守サービスではPHP 4.4以降のPHPに既知のセキュリティ問題を修正したバージョンをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.31に対応したPHPセキュリティ保守サービスのリリースノートです。
14 May 2020
=================================================================================
Core:
Fixed bug #78875 (Long filenames cause OOM and temp files are not cleaned). (CVE-2019-11048)PHP 4.4以降
ESIのPHPセキュリティ保守サービスではPHP 4.4以降のPHPに既知のセキュリティ問題を修正したバージョンをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.30に対応したPHPセキュリティ保守サービスのリリースノートです。
16 Apr 2020
=================================================================================
Standard:
Fixed bug #79468 (SIGSEGV when closing stream handle with a stream filter appended).PHP 7.0以降