PHP 7.3.28リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービスでは既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.28に対応したPHPセキュリティ保守サービスのリリースノートです。

PHP 7.3.28

================================================================================= 
- Imap: 
  . Fixed bug #80710 (imap_mail_compose() header injection).

PHP 5.2 以降（恐らくIMAPをサポートする全てのPHP）

imap_mail_compose()に改行が含まれている場合の無害化処理不足により、ヘッダーインジェクション攻撃が可能となる。 
全てのパラメーターにヘッダーインジェクション対策が無い。

■　互換性 
古い動作に頼っているメールアプリが存在する可能性がある。 
この場合、アプリケーションはimap_mail_compose()に改行を含むパラメーター 
がない状態で動作するよう改修する必要がある。 
mail()にヘッダーインジェクション対策が追加された際、一部のメールライブラリ 
は改行がインジェクションできる動作に頼っていた為動作しなくなる問題があった。

■　影響 
送信先、メール本文を改竄されSPAMメールの送信などに利用される。