Skip to main content

PHP 7.3.27リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.27に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.26のセキュリティ修正に誤りが在り、リリースノートには未記載ですがその問題が7.3.27で修正されています。この為、このリリースは2つバージョンのセキュリティ修正を同時に直した形でリリースしています。

 

PHP 7.3.27/7.3.26

PHP 7.3.27ではPHP 7.3.26のURLバリデーションの修正が含まれている。この為、この 
パッチセットは2つのバージョン一つのパッチセットとしてリリースしています。

================================================================================= 
- SOAP: 
  . Fixed bug #80672 (Null Dereference in SoapClient). (CVE-2021-21702) (cmb, Stas)

PHP 5.2以降

SOAPモジュールでエラー発生時にヌルポインタ参照が発生しクラッシュする。

■ 互換性 
問題無し

■ 影響 
DoSに利用される可能性がある。

================================================================================= 
- Standard: 
  . Fixed bug #77423 (FILTER_VALIDATE_URL accepts URLs with invalid userinfo).  
    (CVE-2020-7071) (cmb)

PHP 5.2以降

URLフィルターのバリデーションロジックに不具合があり、不正なホスト名を許可する。

■ 互換性 
問題無し

■ 影響 
不正なホストへのアクセスを許可する可能性がある。


================================================================================= 
  . Fixed bug #80457 (stream_get_contents() fails with maxlength=-1 or default). 
    (bruno dot premont at restena dot lu)

PHP 5.2以降

stream_get_contents()が整数オーバーフローで正しく動作しない場合がある。

■ 互換性 
問題無し

■ 影響 
不正なメモリアクセスを許可する可能性がある。