PHP 8.1.32リリース対応 PHPセキュリティ保守サービス パッチ配布開始

ESIのPHPセキュリティ保守サービス（PHP 5.3〜8.0対応）では既知のセキュリティ問題を修正した古いバージョンのPHPをご利用頂けます。PHPプロジェクトによるPHP 8.0のメンテナンス期間は2023年12月のリリースで終了しました。今後、PHP 8.0以下の利用を継続されるには既知のセキュリティ問題を修正したPHPを利用する必要があります。

=================================================================================
- LibXML:
 . Fixed GHSA-wg4p-4hqh-c3g9 (Reocurrence of #72714). (nielsdos)

■ 影響バージョン
PHP 5.3以降

■ 互換性
不正なタグは出力されず、出力しなかったタグ配列に保存される。

■ 解説
スキップすべき不正なタグが出力されてしまう場合がある。

=================================================================================
- LibXML:
 . Fixed GHSA-p3x9-6h7p-cgfc (libxml streams use wrong `content-type` header
   when requesting a redirected resource). (CVE-2025-1219) (timwolla)

■ 影響バージョン
PHP 7.0以降

■ 互換性
不正なタグは出力されず、出力しなかったタグ配列に保存される。

■ 解説
XML関連モジュールで誤ったcontent-typeヘッダーがリダイレクトリソースをリクエスト
した場合に返された。

=================================================================================
- Streams:
 . Fixed GHSA-hgf5-96fm-v528 (Stream HTTP wrapper header check might omit
   basic auth header). (CVE-2025-1736) (Jakub Zelenka)
 . Fixed GHSA-52jp-hrpf-2jff (Stream HTTP wrapper truncate redirect location
   to 1024 bytes). (CVE-2025-1861) (Jakub Zelenka)
 . Fixed GHSA-pcmh-g36c-qc44 (Streams HTTP wrapper does not fail for headers
   without colon). (CVE-2025-1734) (Jakub Zelenka)
 . Fixed GHSA-v8xr-gpvj-cx9g (Header parser of `http` stream wrapper does not
   handle folded headers). (CVE-2025-1217) (Jakub Zelenka)

■ 影響バージョン
PHP 4以降（PHP StreamをサポートするPHPすべて）

■ 互換性
バリデーションが強化された為、不正ヘッダーでエラーとなる。

■ 解説
PHP Streamのfopen http wrapperのセキュリティ関連問題を修正。
リダイレクト時に1024バイトと丸めてしまう問題、ベーシック認証ヘッダーを削除してしまう問題、
コロンを含まない不正ヘッダーでエラーを発生しない問題、長いヘッダーが折り返されている場合に
ヘッダーを処理しない問題を修正。

PHP StreamをサポートするPHPすべてが影響します。PHP 5.6までバックポートしていますが
それ以前のPHPはコードの構造上の問題によりサポートしていません。

=================================================================================
- Windows:
 . Fixed phpize for Windows 11 (24H2). (bwoebi)

■ 影響バージョン
Windows版

■ 互換性
phpizeをWindows 11 (24H2)に合わせて修正

■ 解説
Windows版はPHPセキュリティ保守サービスの対象外であるためバックポートなし。