Skip to main content

PHP 7.2.30リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービスではPHP 4.4以降のPHPに既知のセキュリティ問題を修正したバージョンをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.2.30に対応したPHPセキュリティ保守サービスのリリースノートです。

 

16 Apr 2020

=================================================================================
Standard:
Fixed bug #79468 (SIGSEGV when closing stream handle with a stream filter appended).

PHP 7.0以降

追加されたフィルターがある場合にPHPストリームを閉じる際にPHPがクラッシュする。
7.0未満はリソースがポインターではなく整数IDであるためこの問題は発生しない。

■ 互換性
問題なし

■ 影響
PHPがクラッシュする。


=================================================================================
Fixed bug #79330 (shell_exec() silently truncates after a null byte).

PHP 5.2以降

shell_exec()が実効される際にヌル文字でコマンド文字列が丸められる。バイナリセーフな文字列関数(pcreなど)でバリデーションした場合、意図しないコマンドが実行される可能性がある。

■ 互換性
問題なし

■ 影響
不正なコマンドを実行される。


=================================================================================
Fixed bug #79465 (OOB Read in urldecode()).

PHP 4.4以降

文字データをキャストする際の文字変数への符号有り/無しの違いによりurldecode()で不正にメモリ内容の読み取りが可能となる。ただし、この不正読み込みが発生する条件はコンパイル時にEBCDIC文字コードのサポートが定義されている必要がある。(EBCDIC環境でない場合は影響がない)

■ 互換性
問題なし

■ 影響
不正にメモリ内容が漏洩する。