「PHP 5.4.2」におけるCGI関連のバグ修正は不完全、5月8日に再リリースへ

末岡洋子
シェア

 PHP開発チームは5月3日、「PHP 5.4.2」および「PHP 5.3.12」をリリースした。ここで2004年より存在していたというCGI関連の脆弱性を修正したとしていたが、その3日後にこの脆弱性を完全に修正できていないことが報告された。そのため、5月8日にこの脆弱性を修正したものがリリースされる予定となっている。

 この脆弱性はCGIベースでPHPを動作させている一部の環境で発生するもので、悪用されると遠隔からコードが実行されてしまうという。脆弱性情報のCommon Vulnerabilities and Exposures(共通脆弱性識別子)では「CVE-2012-1823」と識別されており、Apache+mod_phpや、nginx+php-fpmは影響しないとしているが、Apache+mod_cgiを利用している場合は影響を受ける可能性があるとしている。PHP開発チームでは確認方法として、URLの最後に「?-s」を加えてページを開いた際にソースコードが表示された場合は影響を受ける可能性があるとしている。

 PHP開発チームは5月3日、この脆弱性を修正したとしてバージョン5.4.2および5.3.12を公開した。だが、その後セキュリティ専門家らによってこの修正は不完全であることが報告され、6日にはPHP開発チームも「CVE-2012-1823のすべての脆弱性を修正するものではない」と認めた。PHP開発チームは同時に、一部のサイトで脆弱なcgiラッパースクリプトを利用してPHPを動かしている点にも警告を出している(ともに、Apache+mod_phpとnginx+php-fpm環境では、脆弱性の影響を受けないという)。

CGI関連の脆弱性およびCGIに関連するapache_request_headerにおける脆弱性を修正したバージョンは5月8日に公開される予定とのこと。

The PHP Group
http://www.php.net/