PHP: Hypertext Preprocessor |
PHPデベロッパチームは5月8日(米国時間)、PHPの最新版となる「PHP 5.4.3」および「PHP 5.3.13」を公開した。どちらもPHPのCGIモードにあった重大な脆弱性が修正されており、すべてのユーザに対してアップグレードを推奨している。
PHP 5.4.3、PHP 5.3.13はともに同じ脆弱性に対処したバージョン。この脆弱性は、アメリカのセキュリティ研究センターCERTが3日(米国時間)に発表した問題で、DoS攻撃を受けたりWebサーバ権限でコードを実行される危険性があった。
PHP GroupではURLの末尾(index.php?)に「-s」をつけてアクセスし、ソースコードが表示された場合には、これらの攻撃を受ける可能性があるという。実はこの脆弱性については、3日に公開された「PHP 5.4.2」および「PHP 5.3.12」で対処したと発表したが、その後、6日に修正が不十分であったことを公表していた。
今回公開されたPHP 5.4.3およびPHP 5.3.13では、この脆弱性に完全に対処したとしている。また、mod_php及びphp-fpmに関しては、この脆弱性は受けないとしている。PHP 5.4.3ではapache_request_headers()でバッファーオーバーフローを起こす脆弱性にも対処している。PHP 5.3系はこの脆弱性に関しては対象外となっている。
記事公開当初「apache_request_headers()」の脆弱性に関して、PHP 5.3系は未修正との記載をしておりましたが、PHP 5.3系はこの脆弱性に関しては対象外でした。お詫びして、訂正致します。
