[PHP-users 13379] PHP 4.3.1リリース(CGI版の脆弱性FIX)

[Masaki Fujimoto]

ふじもとです。

PHP 4.3.0のCGI版に脆弱性が発見されたため、昨日PHP 4.3.1がリリースされました。こ
の脆弱性はCGI版を使用している方以外には影響はありません。

以下にリリースアナウンスの和訳を挙げます。ご参考にしていただければ。

--- http://www.php.net/release_4_3_1.php ---
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0 
Issued on:    February 17, 2003 
Software:    PHP version 4.3.0 
Platforms:    All 

PHPグループはPHP 4.3.0のCGI SAPIにセキュリティ上重大な脆弱性があることを確認し
ました。


概要

PHPにはCGIバイナリに対する直接のアクセスを防ぐために、configureオプション 
"--enable-force-cgi-redirect"とphp.iniオプション"cgi.force_redirect"という仕組み
が用意されています。PHP 4.3.0にはこれらのオプションが無効になってしまうバグがあ
ります。

ノート: このバグは他のSAPIモジュール(ApacheやISAPIモジュール等)にはまったく影響
しません。


影響

上記に該当するCGIモジュールがインストールされているウェブサイトにアクセスするこ
とが出来る全ての人は、そのウェブサーバが読み込む権限を持っている全てのファイルへ
のアクセスを得ることが出来てしまいます。

また、攻撃者はたとえばウェブサーバのアクセスログのような、CGIの動作によって書き
込みが行われるファイルにコードを埋め込むことによって、任意のPHPコードを実行する
ことも可能です。


解決策

PHPグループはこの脆弱性を修正した新しいバージョンのPHP 4.3.1をリリースしました。
該当するPHPのバージョンを使用しているユーザは、この最新のバージョンへのアップグ
レードが推奨されます。ダウンロードサイトは

http://www.php.net/downloads.php

です。ここで4.3.1のソースtar ball、Windows用バイナリ、4.3.0のソースコードに対す
るパッチファイルをダウンロードすることが出来ます。ただし、アップグレードはPHP 
4.3.0でCGIモジュールを使用している場合のみ必要となります。脆弱性の修正以外のバグ
フィクスはこのリリースには含まれていません。


回避策

なし

クレジット

PHPグループはこの脆弱性を発見してくれたKosmas Skiadopoulosに感謝します。
--- ここまで ---

-- 
Masaki Fujimoto
fujimoto@techstyle.jp
http://techstyle.jp/