「PHPセキュリティ保守サービス」がPHP 5.3に対応しました

PHPセキュリティ保守サービスがPHP 5.3に対応したことをプレスリリースとして発表しました。

最後のPHP 5.3.29がリリースされてからPHP 5.4.33/5.4.34がリリースされました。5.4.34には

• Fixed bug #68027 (Global buffer overflow in mkgmtime() function). (CVE-2014-3668)
• Fixed bug #68044 (Integer overflow in unserialize() (32-bits only)). (CVE-2014-3669)
• Fixed bug #68113 (Heap corruption in exif_thumbnail()). (CVE-2014-3670)

がCVE登録された脆弱性修正としてリリースノートに記載されています。PHPセキュリティ保守サービスでは、これらのCVE登録された脆弱性以外にも対応しています。

5.4.34で追加されたFileInfoへのセキュリティ対策（リリースノートに記載なし）

• Fixed bug #68089 (NULL byte injection – cURL lib).

ヌル文字インジェクションによる不正なファイルアクセス

• Fixed bug #41631 (socket timeouts not honored in blocking SSL reads).

不正証明書を読み込み時にタイムアウトしない問題（DoS）

• Fixed bug #67873 (Segfaults in php_wddx_serialize_var).

大きなデータのWDDXシリアライズでクラッシュする問題

• Fixed bug #67724 (chained zlib filters silently fail with large amounts of data).

サイズの大きな圧縮データでクラッシュする問題

などに対応しています。できる限り、現在サポートされているPHPにバージョンアップすることが望ましいですが、バージョンアップが困難な場合などにはご利用をご検討ください。

https://www.es-i.jp/services/php-security-patch-service