PHP 7.3.27リリース対応 PHPセキュリティ保守サービス パッチ配布開始
ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。
以下はPHP 7.3.27に対応したPHPセキュリティ保守サービスのリリースノートです。
PHP 7.3.26のセキュリティ修正に誤りが在り、リリースノートには未記載ですがその問題が7.3.27で修正されています。この為、このリリースは2つバージョンのセキュリティ修正を同時に直した形でリリースしています。
PHP 7.3.27/7.3.26
PHP 7.3.27ではPHP 7.3.26のURLバリデーションの修正が含まれている。この為、この
パッチセットは2つのバージョン一つのパッチセットとしてリリースしています。=================================================================================
- SOAP:
. Fixed bug #80672 (Null Dereference in SoapClient). (CVE-2021-21702) (cmb, Stas)PHP 5.2以降
SOAPモジュールでエラー発生時にヌルポインタ参照が発生しクラッシュする。
■ 互換性
問題無し■ 影響
DoSに利用される可能性がある。=================================================================================
- Standard:
. Fixed bug #77423 (FILTER_VALIDATE_URL accepts URLs with invalid userinfo).
(CVE-2020-7071) (cmb)PHP 5.2以降
URLフィルターのバリデーションロジックに不具合があり、不正なホスト名を許可する。
■ 互換性
問題無し■ 影響
不正なホストへのアクセスを許可する可能性がある。
=================================================================================
. Fixed bug #80457 (stream_get_contents() fails with maxlength=-1 or default).
(bruno dot premont at restena dot lu)PHP 5.2以降
stream_get_contents()が整数オーバーフローで正しく動作しない場合がある。
■ 互換性
問題無し■ 影響
不正なメモリアクセスを許可する可能性がある。