PHP: Hypertext Preprocessor

PHP 5.4.13およびPHP 5.3.23が公開された。すべてのPHPユーザへPHP 5.4.13へのアップグレードが推奨されている。最新のソースコードはPHP: Downloadsからダウンロードできるほか、Windows向けのバイナリはPHP For Windows: Binaries and sources Releasesからダウンロード可能。PHP 5.4.13およびPHP 5.3.23では15のバグが修正されており、うち2つはセキュリティ脆弱性への対応になっている。影響を受ける場合には迅速なアップデートが推奨される。

脆弱性のひとつはext/soap/soap.cの処理に問題があるというもの。soap.wsdl_cache_dirディレクティブとopen_basedirディレクティブの関係性の検証処理を適切に実施していなかったため、任意のディレクトリにおいてSOAP WSDLファイルのキャッシュを作成するという方法でアクセス制限を回避できてしまう。

もうひとつの脆弱性もSOAPに関連したもので、soap_xmlParseFile関数およびsoap_xmlParseMemory関数におけるパース処理に問題があり、特定の細工をされたSOAP WSDLファイルを使うことで任意のファイルを読まれてしまうという脆弱性がある。