PHP4.4.9のセキュリティ状態

PHP4のサポートは2008/8/8を持って終了しました。サポート終了に合わせて、最後のPHP4リリースとなる4.4.9がリリースされています。サポートが終了していますが、稼動中のPHPの半分はまだPHP4であるとる統計情報もあり、まだまだ現役です。

PHPプロジェクトのサポート終了したため、PHP 4.4.9のセキュリティ脆弱性はCVEなどでも報告されなくなりました。この為、普通にセキュリティ情報を収集していてもPHP4.4.9に対する脆弱性情報は入手できません。

PHP4セキュリティ保守サービスではPHP 4にも対応しています。サポートしている脆弱性の概要は、弊社のお知らせをご覧下さい。

まだまだ、SQLインジェクションが無くなっていない事は非常に残念です。PHP4で作られたWebアプリケーションはSJISやEUCを文字エンコーディングに利用している為、文字エンコーディングベースのSQLインジェクションに脆弱なWebアプリケーションもかなり多くあると思われます。

Wikiのページを見ると文字エンコーディング関連の脆弱性が多く有ることが分かります。PHPセキュリティレスポンスチームにはPHP4サポート終了前に、脆弱性情報と共にパッチも提供し一部は修正されたのですが、残念ながら文字エンコーディング関連の脆弱性修正に必要な関数のバックポートなどは全く行われませんでした。

商用サービスをPHP4で提供されて、もうしばらくPHP4を利用される予定でいる方は、ライセンスも緩く使いやすいのでPHP4セキュリティ保守サービスを検討されてもよいかも知れません。

参考：

• 「PHPセキュリティ保守サービス」がPHP 5.3に対応しました