Hitach Incident Response Team

 2013年12月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PHP5.4.23、5.3.28、5.5.7リリース(2013/12/12)

 PHP 5.4.23では、OpenSSLモジュールに存在する任意のコード実行あるいは、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-6420)を解決しています。この問題は、openssl_x509_parseで不正な証明書を処理した際にメモリー破損が発生することに起因しています。また、Core、JSON、MySQLi、mysqlnd、PDOで約10件のバグを修正しています。

 PHP 5.3.28では、OpenSSLモジュールに存在する任意のコード実行あるいは、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-4073、CVE-2013-6420)を解決しています。脆弱性(CVE-2013-4073)は、ドメイン名にNULL文字を含むX.509証明書の取り扱いに関するものです。なお、2013年7月11日、PHP 5.3.27のリリースとともに、PHP 5.3系がEOL対象となったことが発表されていますので、PHP 5.4系、PHP 5.5系へのアップグレードを進めていく必要があります。

 PHP 5.5.7では、OpenSSLモジュールに存在する脆弱性(CVE-2013-6420)を解決しています。また、Core、CLI server、OPCache、readlineで約10件のバグを修正しています。