各位
JPCERT-AT-2012-0004
JPCERT/CC
2012-02-06
<<< JPCERT/CC Alert 2012-02-06 >>>
PHP 5.3.9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120004.html
I. 概要
PHP 5.3.9 の脆弱性情報が 2012年2月2日に公開されました。この脆弱性を
使用された場合、結果として遠隔の第三者によって任意のコードを実行される
可能性があります。
JPCERT/CC では本脆弱性を使用する実証コードが公開されていることを確認
していますので、管理するサーバにおいて PHP を使用している場合は、
PHP Group が提供する修正済みバージョン (PHP 5.3.10) へアップデートする
ことをお勧めします。
PHP 5.3.10 Released!
http://news.php.net/php.announce/87
なお、PHP 5.3.8 以前のバージョンを使用している場合は、本脆弱性の影響
を受けませんが、既知の脆弱性によって任意のコードが実行されたり、サービ
ス運用妨害 (DoS) 攻撃の影響を受けたりする可能性がありますので、最新の
バージョンにアップデートすることをお勧めします。
II. 対象
以下のバージョンが本脆弱性の影響を受けます。
- PHP 5.3.9
III. 対策
PHP Group から本脆弱性を修正したバージョンが公開されています。十分な
テストを実施の上、修正済みバージョンを適用することをお勧めします。また、
一部のディストリビュータなどからも修正済みプログラムが提供されています。
詳細は各ディストリビュータの情報をご参照ください。
修正済みバージョン
- PHP 5.3.10
PHP Group
PHP: Downloads
http://www.php.net/downloads.php
PHP For Windows: Binaries and sources Releases
http://windows.php.net/download/
※ PHP 5.2 は、2011年1月にサポートが終了していますので、5.2 以前のバー
ジョンをお使いの方は、最新のバージョンを使用されることお勧めします。
2月は情報セキュリティ月間ですので、今一度管理しているサイトにおいて、
脆弱性のあるソフトウエアやサポートが切れたソフトウエアを使用していない
か確認することをお勧めします。
III. 参考情報
Red Hat, Inc.
CVE-2012-0830
https://www.redhat.com/security/data/cve/CVE-2012-0830.html
RHSA-2012:0092-1
https://rhn.redhat.com/errata/RHSA-2012-0092.html
RHSA-2012:0093-1
https://rhn.redhat.com/errata/RHSA-2012-0093.html
Debian
Debian Security Advisory
DSA-2403-1 php5 -- code injection
http://www.debian.org/security/2012/dsa-2403
内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ