PHPデベロップメントチームは10月24日(米国時間)、「PHP: Hypertext Preprocessor」において、サポートしているすべてのバージョンに脆弱性が存在すると伝えた。同チームは、該当するバージョンを使用しているすべてのユーザーに対し、それぞれのバージョンの最新版にアップグレードすることを推奨している。

修正されたバージョンはそれぞれ次のとおり。

PHP 7.1.33は脆弱性の修正のみを含み、PHP 7.3.11とPHP 7.2.24 は脆弱性の修正に加えていくつかのバグ修正も含んでいる。脆弱性に関する情報は次のページにまとまっている。

  • PHP :: Sec Bug #78599 :: env_path_info underflow in fpm_main.c can lead to RCE

    PHP :: Sec Bug #78599 :: env_path_info underflow in fpm_main.c can lead to RCE

この脆弱性は特定の条件がそろうとPHPがクラッシュするというもので、結果としてリモートコード実行が行われる危険性がある。条件は比較的発生しやすいものとなっており、該当するプロダクトおよびバージョンを使用している場合は迅速にアップグレードを実施することが望まれる。