The PHP Development Teamやセキュリティ組織/ベンダーは米国時間3月31日,アプリケーション開発言語PHPのインタプリタ「PHP 4.2.x/4.3.x/5.0.x」に複数のセキュリティ・ホールが見つかったことを公表した。細工が施されたデータを送信されると,PHPが稼働するWebサーバー・マシンのCPU使用率が100%になって,通常のサービスを提供できなくなる。つまり,DoS(サービス妨害)攻撃を受ける可能性がある。対策は,セキュリティ・ホールを修正した最新版「PHP 5.0.4」あるいは「PHP 4.3.11」にアップグレードすること(関連記事)。
セキュリティ・ベンダー米iDEFENSEの情報によると,今回見つかったセキュリティ・ホールの一つは,画像データの取り扱いに関するセキュリティ・ホールである。細工を施した画像データをPHPが稼働するサーバーへアップロードされると,同サーバーのCPU使用率が100%になるという。これにより,同サーバーは通常のサービスを提供できなくなる。
デンマークSecuniaによると,上記以外にも,セキュリティに関係するバグが複数見つかっているという。詳細については,The PHP Development Teamのチェンジ・ログ「PHP 4 ChangeLog」および「PHP 5 ChangeLog」を参照のこと。
iDEFENSEの情報などでは,今回のセキュリティ・ホールは,バージョン 4.2.2/4.3.9/4.3.10/5.0.3――で確認しているという。ただしSecuniaなどでは,これら以外のバージョンも同様に影響を受ける可能性が高いとしている。バージョン 4.2.x/4.3.x/5.0.xの管理者は,セキュリティ・ホールを修正したPHP 5.0.4あるいはPHP 4.3.11にアップグレードすべきだろう。
最新版は,The PHP Development Teamのダウンロード・ページなどから入手できる。
◎参考資料
◆PHP 5.0.4 and 4.3.11 Released(The PHP Development Team)
◆PHP 4 ChangeLog
◆PHP 5 ChangeLog
◆PHP:Downloads
◆PHP getimagesize() Multiple Denial of Service Vulnerabilities(米DEFENSE)
◆PHP Multiple Vulnerabilities(デンマークSecunia)
(勝村 幸博=IT Pro)
