PHPセキュリティ保守サービスがPHP 5.3に対応したことをプレスリリースとして発表しました。
最後のPHP 5.3.29がリリースされてからPHP 5.4.33/5.4.34がリリースされました。5.4.34には
- Fixed bug #68027 (Global buffer overflow in mkgmtime() function). (CVE-2014-3668)
- Fixed bug #68044 (Integer overflow in unserialize() (32-bits only)). (CVE-2014-3669)
- Fixed bug #68113 (Heap corruption in exif_thumbnail()). (CVE-2014-3670)
がCVE登録された脆弱性修正としてリリースノートに記載されています。PHPセキュリティ保守サービスでは、これらのCVE登録された脆弱性以外にも対応しています。
5.4.34で追加されたFileInfoへのセキュリティ対策(リリースノートに記載なし)
- Fixed bug #68089 (NULL byte injection – cURL lib).
ヌル文字インジェクションによる不正なファイルアクセス
- Fixed bug #41631 (socket timeouts not honored in blocking SSL reads).
不正証明書を読み込み時にタイムアウトしない問題(DoS)
- Fixed bug #67873 (Segfaults in php_wddx_serialize_var).
大きなデータのWDDXシリアライズでクラッシュする問題
- Fixed bug #67724 (chained zlib filters silently fail with large amounts of data).
サイズの大きな圧縮データでクラッシュする問題
などに対応しています。できる限り、現在サポートされているPHPにバージョンアップすることが望ましいですが、バージョンアップが困難な場合などにはご利用をご検討ください。
https://www.es-i.jp/services/php-security-patch-service