PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。
以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。
詳しい情報はパッチのドキュメントを参照してください。
◆ 2016/12/25
PHPプロジェクトのPHP 5.6.27リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています。
備考:
Zendエンジン内のハッシュ関数処理に多くの整数オーバーフロー脆弱性の修正が加えられています。緩和策としてメモリ制限を2^31(32bit環境)または2^63(64bit環境)未満に設定すると脆弱性を回避できます。
Curlオブジェクトによるアンシリアライズの開放済みメモリへのアクセスが修正されています。
PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。
以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。
詳しい情報はパッチのドキュメントを参照してください。
◆ 2016/11/08
PHPプロジェクトのPHP 5.6.25リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています
整数オーバーフロー問題の多くはint型の範囲を超えるメモリを取り扱った場合の問題です。メモリ制限を1GB未満に設定するなど、Web環境としては常識的な設定にしている場合はこれら問題の影響を受けません。
18 Aug 2016
Core:
Fixed bug #70436 (Use After Free Vulnerability in unserialize()).
unserialize()で解放済みメモリへのアクセスが発生する。
PHP 4.4/5.2/5.3/5.4/5.5
PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.5/5.4/5.3/5.2/4.4に対応しています。
以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。
詳しい情報はパッチのドキュメントを参照してください。
◆ 2016/11/12
PHPプロジェクトのPHP 5.6.26リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています。
15 Sep 2016
Core:
■ Fixed bug #72907 (null pointer deref, segfault in gc_remove_zval_from_buffer (zend_gc.c:260)).
対象:5.4/5.5
特定のコードでGC内でヌルポインター参照が発生し、クラッシュする。
備考:PHP5.3以下でも発生する。
PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.4/5.3/5.2/4.4/4.3に対応しています。
以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。
詳しい情報はパッチのドキュメントを参照してください。
◆ 2016/8/12
PHPプロジェクトのPHP 5.5.38リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています。
PHP 4.4.9/5.2.17/5.3.29では
php-x.x.x-5.4.41-rfc1867.patch(DoS対策)
が動作不良を起すため削除しました。
PHP7.0へのアップグレードを検討している方も多いと思います。PHPマニュアルのMigrating from PHP 5.6.x to PHP 7.0.xはPHP7.0へのアップグレードに必要な情報を簡潔にまとめています。日本語訳が存在しないので、日本語化し弊社のコメント付加し、主にアップグレードに関心を持つ読者の為に再編成した資料を作成しました。Createtive Commons Attibution 3.0 Licenseで利用頂けます。
PDFダウンロード(約5MB)
PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.4/5.3/5.2/4.4/4.3に対応しています。
以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。
詳しい情報はパッチのドキュメントを参照してください。
◆ 2016/7/5
PHPプロジェクトのPHP 5.5.37リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています
23 Jun 2016
Core:
Fixed bug #72268 (Integer Overflow in nl2br()).
対象:PHP 5.2/5.3/5.4
整数オーバーフローによりバッファーオーバーフローが発生する。
インジェクション脆弱性で最も注意が必要なソフトウェアのセキュリティ問題の一つです。ソースコード検査サービスをご利用いただいた場合にJavaScriptやSQLインジェクション問題が検出されるケースが非常に多いです。JavaScriptインジェクションを除くインジェクション脆弱性は対策が比較的容易です。JavaScriptインジェクション問題は比較的対応が難しいですが、セキュアプログラミングの考え方を徹底することでリスクをかなり低減可能です。
「ソースコード検査に耐えるコードとは?」は特に多くみられるインジェクション脆弱性を作らないコードを書くために必要な考え方・作り方の基本を紹介した資料です。セキュアなコードを書くための資料としてご利用ください。
PHPセキュリティ保守サービスとは、メンテナンスが終了したPHPを安全に利用するパッチを提供するサービスです。PHP 5.4/5.3/5.2/4.4/4.3に対応しています。
以下はPHPセキュリティ保守サービスのリリースノートからの抜粋です。
詳しい情報はパッチのドキュメントを参照してください。
◆ 2016/7/5
PHPプロジェクトのPHP 5.5.37リリースに対応したリリースです。
これらのRelease Noteでは以下のセキュリティ/バグフィックスが報告されています
23 Jun 2016
Core:
Fixed bug #72268 (Integer Overflow in nl2br()).
対象:PHP 5.2/5.3/5.4
整数オーバーフローによりバッファーオーバーフローが発生する。