レガシー版PHPのセキュリティ状態
PHP 4.
現在サポートされているPHPは5.
必要なセキュリティアップデートが提供されない原因は、
CVE番号とは、
PHPプロジェクトがCVEを認識していることはセキュリティフィックスリリースのリリースノートを見れば分かります。例えば、
- Security Enhancements and Fixes in PHP 5.
3.6: -
- Enforce security in the fastcgi protocol parsing with fpm SAPI.
- Fixed bug #54247 (format-string vulnerability on Phar). (CVE-2011-1153)
- Fixed bug #54193 (Integer overflow in shmop_
read()). (CVE-2011-1092) - Fixed bug #54055 (buffer overrun with high values for precision ini setting).
- Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
- Fixed bug #53885 (ZipArchive segfault with FL_
UNCHANGED on empty archive). (CVE-2011-0421)
最初のエントリは脆弱性対策ではなく、
- Fixed bug #54055 (buffer overrun with high values for precision ini setting).
にはCVE
このようにディストリビューターのセキュリティパッチ体制とPHPプロジェクトのセキュリティリリース方針に互換性が無いため、
この連載では、
セキュリティパッチ一覧
執筆時点でPHP4セキュリティ保守サービスにて提供中のパッチ一覧です。
- CVE-2007-0909-printf.
patch - CVE-2007-4782.
patch - CVE-2007-5899.
patch - CVE-2008-210x.
patch - CVE-2008-3660.
patch - CVE-2010-4645.
patch - CVE-2011-0708.
patch - CVE-2011-1092.
patch - allow_
url_ include. patch - crypt_
zts. patch - dbareplace-CVE-2008-7068.
patch - escape_
shell_ cmd-CVE-2008-2051. patch - exif-CVE-2009-3292.
patch - explode-5.
2.9. patch - fcgi_
url_ crash_ CVE-2008-3660. patch - fix_
tests. patch - fnmatch.
patch - gd-CVE-2008-5498-CVE-2009-3293-etc.
patch - html_
escape. patch - imap-CVE-2010-4150.
patch - imap_
overflow-CVE-2008-2829. patch - lcg.
patch - max-file-uploads-CVE-2009-4017.
patch - mb_
check_ encoding. patch - mbstring-5.
2.9-CVE-2008-5557. patch - mysql_
set_ charset. patch - open_
basedir-CVE-2010-3436. batch - openssl-CVE-2009-3291.
patch - page_
uid. patch - pcre-CVE-2008-2371.
patch - pg_
escape_ string. patch - php_
value_ order. patch - precision-overflow.
patch - refcount_
overflow. patch - session-CVE-2009-4143.
patch - session-prefix.
patch - strict_
session. patch - string.
c.patch - xml-char-overflow.
patch - xmlrpc.
patch
PHP4セキュリティパッチサービスが対応するPHP 4はPHP 4.
PHP 5.2の状態
PHP 5.
PHP 5.
5.
- Fixed bug #54247 (format-string vulnerability on Phar). (CVE-2011-1153)
- Fixed bug #54193 (Integer overflow in shmop_
read()). (CVE-2011-1092) - Fixed bug #54055 (buffer overrun with high values for precision ini setting).
- Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
- Fixed bug #53885 (ZipArchive segfault with FL_
UNCHANGED on empty archive). (CVE-2011-0421)
のうち、
- Fixed bug #54247 (format-string vulnerability on Phar). (CVE-2011-1153)
はpharモジュールが無いためPHP 5.
- Fixed bug #54193 (Integer overflow in shmop_
read()). (CVE-2011-1092) - Fixed bug #54055 (buffer overrun with high values for precision ini setting).
- Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
- Fixed bug #53885 (ZipArchive segfault with FL_
UNCHANGED on empty archive). (CVE-2011-0421)
はPHP 5.
PHP 5.
- 対応済み
- Fixed bug #54193 (Integer overflow in shmop_
read()). (CVE-2011-1092)
- Fixed bug #54193 (Integer overflow in shmop_
- 未対応
- Fixed bug #54055 (buffer overrun with high values for precision ini setting).
- Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
- Fixed bug #53885 (ZipArchive segfault with FL_
UNCHANGED on empty archive). (CVE-2011-0421)
という状況になっています。この現状からPHPプロジェクトとしてはPHP 5.
レガシー版であるPHP 5.
- Fixed bug #54193 (Integer overflow in shmop_
read()). (CVE-2011-1092) - ← PHP 5.
3.5以下に影響と記載 - Fixed bug #54055 (buffer overrun with high values for precision ini setting).
- ← CVE-2011-1464、
PHP 5. 3.5以下に影響と記載 - Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
- ← PHP 5.
3.5以下に影響と記載 - Fixed bug #53885 (ZipArchive segfault with FL_
UNCHANGED on empty archive). (CVE-2011-0421) - ← PHP 5.
3.5以下に影響と記載
すべてPHP 5.
まとめ
既にPHP 5.
セキュリティ確保にはまず正しい情報を知ることが必要です。本連載では少しでも安全にPHPを利用したWebサイトを運用できるよう、