PHP 5.3.12とPHP 5.4.2、脆弱性が完全には修正されていないことが判明

Kidzuki_Nihiru 曰く、　PHPをCGIとして使用する場合にリモートからコマンドライン引数を指定してPHP-CGIバイナリーを実行できるという脆弱性(CVE-2012-1823)が発見され、PHP開発チームはPHP 5.3.12とPHP 5.4.2を公開した。しかし、脆弱性が完全には修正されておらず、改めて脆弱性情報データベースにCVE-2012-2311として登録されたとのこと(threatpostの記事、Die Eindbazenの記事、Yet Another PHP Security Blogの記事、徳丸浩氏のブログ記事)。

この脆弱性は2004年から発見されずに存在していたもので、Apache mod_cgiを使用している環境などが影響を受けるという。悪用されるとリモートからローカルディスク上のファイルを実行されたり、DoSを実行されたりする可能性がある。攻撃者がサーバーにファイルをアップロードできる場合、任意のコードを実行可能となる。広く使われているApache+mod_phpやnginx+php-fpmでは影響を受けないとのこと。

暫定的な回避方法については徳丸浩氏のブログやYet Another PHP Security Blogの記事を参照してほしい。Die Eindbazenの記事にはパッチも掲載されている。仕事やプライベートでPHPを利用されている方は急いで確認をしよう。

　スラッシュドットのコメントを読む | デベロッパーセクション | セキュリティ | バグ | デベロッパー | PHP

　関連ストーリー：
PHP 5.4.0リリース 2012年03月03日
PHP 5.3.7に重大なバグ、strncatの罠にはまる 2011年08月24日
PHPの浮動小数点処理に無限ループのバグ 2011年01月09日
PHP4.3.0のCGIに脆弱性 2003年02月18日