Blog

PHP 7.2.34リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHP Security Patch Service
 / 23 October 2020 / 0 Comments

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.1のメンテナンス期間は2019年12月のリリースで終了しました。今後、PHP 7.1以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.2.34に対応したPHPセキュリティ保守サービスのリリースノートです。

 

01 Oct 2020, PHP 7.2.34

================================================================================= 
- Core: 
  . Fixed bug #79699 (PHP parses encoded cookie names so malicious `__Host-` 
    cookies can be sent). (CVE-2020-7070) (Stas)

PHP 4.4以降

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Attributes 
で定義される特殊クッキー名がデコードされ、本来外部から設定不可能であるべき特殊クッキー名を設定 
される可能性がある。

■ 互換性 
問題無し 
ただし、クッキー名がデコードされる”バグ”に依存している場合、問題が発生する可能性がある。

■ 影響 
不正なサイトを信頼可能なサイトと誤認識する可能性がある。

================================================================================= 
- OpenSSL: 
  . Fixed bug #79601 (Wrong ciphertext/tag in AES-CCM encryption for a 12 
    bytes IV). (CVE-2020-7069) (Jakub Zelenka)

PHP 7.0以降

IVのバリデーションが不十分で不正なIVを許可する

■ 互換性 
7バイトにトランケートされていたIVが12バイト利用されるようになるため、互換性問題が発生する。

■ 影響 
IVがトランケートされる為、不必要に暗号強度が低下される。

 
「PHPセキュリティ保守サービス」関するお問い合わせは、お気軽にどうぞ。
お問い合わせ・お見積依頼
どうぞお気軽にお問い合わせください!
お問い合わせ
ソースコード検査に耐えるコードとは?
現在のところ弊社ソースコード検査の検査合格にセキュアコーディングは必須ではありません。しかし、ISO 27000の改訂、改正個人情報保護法、GDPRの施行など、セキュアコーディング無しのコードに対する訴訟リスクは増大しています。
dowload

About ESI

Electronic Service Initiative, Ltd. は2000年に設立し、Webシステム開発をサポートしてきました。最近は特に自社開発の開発運用ツール提供、セキュアコーディング技術とセキュア開発の普及に努めています。

Contact info

  • 〒719-1165 岡山県総社市西坂台228
  • エレクトロニック・サービス・イニシアチブ有限会社
  • 0866-90-2131
  • info@es-i.jp
Copyright© Electronic Service Initiative, Ltd . All Rights Reserved.