Skip to main content

PHP 7.2.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.2.33に対応したPHPセキュリティ保守サービスのリリースノートです。

 

06 Aug 2020, PHP 7.2.33

=================================================================================
- Core:
  . Fixed bug #79877 (getimagesize function silently truncates after a null
    byte) (cmb)

PHP 5.3以降

getimagesize()にファイル名を与えた場合、ヌル文字インジェクションで他のイメージファイルのサイズ
を取得させることが可能になる。

■ 互換性
問題無し。

■ 影響
DoS攻撃になどに利用される可能性がある。

=================================================================================
- Phar:
  . Fixed bug #79797 (Use of freed hash key in the phar_parse_zipfile
    function). (CVE-2020-7068) (cmb)

PHP 5.3以降

ZIPのPharファイル利用時に不正メモリアクセスが可能となる。

■ 互換性
問題無し。

■ 影響
Pharファイルアクセスにより意図しない操作が可能となる。(ただし、Phar自体がPHPプログラムなので一
般のPharファイルでもアクセスした時点で任意コードの実行は可能)