PHP 7.2.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.2.33に対応したPHPセキュリティ保守サービスのリリースノートです。
06 Aug 2020, PHP 7.2.33
=================================================================================
- Core:
. Fixed bug #79877 (getimagesize function silently truncates after a null
byte) (cmb)PHP 5.3以降
getimagesize()にファイル名を与えた場合、ヌル文字インジェクションで他のイメージファイルのサイズ
を取得させることが可能になる。■ 互換性
問題無し。■ 影響
DoS攻撃になどに利用される可能性がある。=================================================================================
- Phar:
. Fixed bug #79797 (Use of freed hash key in the phar_parse_zipfile
function). (CVE-2020-7068) (cmb)PHP 5.3以降
ZIPのPharファイル利用時に不正メモリアクセスが可能となる。
■ 互換性
問題無し。■ 影響
Pharファイルアクセスにより意図しない操作が可能となる。(ただし、Phar自体がPHPプログラムなので一
般のPharファイルでもアクセスした時点で任意コードの実行は可能)