PHP 7.2.33リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.2.33に対応したPHPセキュリティ保守サービスのリリースノートです。

06 Aug 2020, PHP 7.2.33

================================================================================= 
- Core: 
  . Fixed bug #79877 (getimagesize function silently truncates after a null 
    byte) (cmb)

PHP 5.3以降

getimagesize()にファイル名を与えた場合、ヌル文字インジェクションで他のイメージファイルのサイズ 
を取得させることが可能になる。

■ 互換性 
問題無し。

■ 影響 
DoS攻撃になどに利用される可能性がある。

================================================================================= 
- Phar: 
  . Fixed bug #79797 (Use of freed hash key in the phar_parse_zipfile 
    function). (CVE-2020-7068) (cmb)

PHP 5.3以降

ZIPのPharファイル利用時に不正メモリアクセスが可能となる。

■ 互換性 
問題無し。

■ 影響 
Pharファイルアクセスにより意図しない操作が可能となる。（ただし、Phar自体がPHPプログラムなので一 
般のPharファイルでもアクセスした時点で任意コードの実行は可能）