Blog

PHP 7.3.29リリース対応 PHPセキュリティ保守サービス パッチ配布開始

PHP Security Patch Service
 / 9 July 2021 / 0 Comments

ESIのPHPセキュリティ保守サービス(PHP 5.2〜7.2対応)では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 7.2のメンテナンス期間は2020年12月のリリースで終了しました。今後、PHP 7.2以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

以下はPHP 7.3.29に対応したPHPセキュリティ保守サービスのリリースノートです。

 

PHP 7.3.29

================================================================================= 
Core: 
  Fixed bug #81122: SSRF bypass in FILTER_VALIDATE_URL. (CVE-2021-21705)

InputフィルターのFILTER_VALIDATE_URLが不正なURLを妥当なURLとして処理する。

PHP 5.2以降

■ 互換性 
問題無し

■ 影響 
parse_url()などと組み合わせた場合、ドメイン名に攻撃者の設定したドメイン名を設定でき、セキュリティフィルター 
を回避できる。


================================================================================= 
PDO_Firebird: 
  Fixed bug #76448: Stack buffer overflow in firebird_info_cb. (CVE-2021-21704) 
  Fixed bug #76449: SIGSEGV in firebird_handle_doer. (CVE-2021-21704) 
  Fixed bug #76450: SIGSEGV in firebird_stmt_execute. (CVE-2021-21704) 
  Fixed bug #76452: Crash while parsing blob data in firebird_fetch_blob. (CVE-2021-21704)

メモリ破壊問題により任意コード実行やシステムのクラッシュが可能になる。

PHP 5.2以降

■ 互換性 
問題無し

■ 影響 
任意コードを実行されたりサービス不能状態となる可能性がある。

 
「PHPセキュリティ保守サービス」関するお問い合わせは、お気軽にどうぞ。
お問い合わせ・お見積依頼
どうぞお気軽にお問い合わせください!
お問い合わせ
ソースコード検査に耐えるコードとは?
現在のところ弊社ソースコード検査の検査合格にセキュアコーディングは必須ではありません。しかし、ISO 27000の改訂、改正個人情報保護法、GDPRの施行など、セキュアコーディング無しのコードに対する訴訟リスクは増大しています。
dowload

About ESI

Electronic Service Initiative, Ltd. は2000年に設立し、Webシステム開発をサポートしてきました。最近は特に自社開発の開発運用ツール提供、セキュアコーディング技術とセキュア開発の普及に努めています。

Contact info

  • 〒719-1165 岡山県総社市西坂台228
  • エレクトロニック・サービス・イニシアチブ有限会社
  • 0866-90-2131
  • info@es-i.jp
Copyright© Electronic Service Initiative, Ltd . All Rights Reserved.