PR

 The PHP Development Teamやセキュリティ組織/ベンダーは米国時間3月31日,アプリケーション開発言語PHPのインタプリタ「PHP 4.2.x/4.3.x/5.0.x」に複数のセキュリティ・ホールが見つかったことを公表した。細工が施されたデータを送信されると,PHPが稼働するWebサーバー・マシンのCPU使用率が100%になって,通常のサービスを提供できなくなる。つまり,DoS(サービス妨害)攻撃を受ける可能性がある。対策は,セキュリティ・ホールを修正した最新版「PHP 5.0.4」あるいは「PHP 4.3.11」にアップグレードすること(関連記事)。

 セキュリティ・ベンダー米iDEFENSEの情報によると,今回見つかったセキュリティ・ホールの一つは,画像データの取り扱いに関するセキュリティ・ホールである。細工を施した画像データをPHPが稼働するサーバーへアップロードされると,同サーバーのCPU使用率が100%になるという。これにより,同サーバーは通常のサービスを提供できなくなる。

 デンマークSecuniaによると,上記以外にも,セキュリティに関係するバグが複数見つかっているという。詳細については,The PHP Development Teamのチェンジ・ログ「PHP 4 ChangeLog」および「PHP 5 ChangeLog」を参照のこと。

 iDEFENSEの情報などでは,今回のセキュリティ・ホールは,バージョン 4.2.2/4.3.9/4.3.10/5.0.3――で確認しているという。ただしSecuniaなどでは,これら以外のバージョンも同様に影響を受ける可能性が高いとしている。バージョン 4.2.x/4.3.x/5.0.xの管理者は,セキュリティ・ホールを修正したPHP 5.0.4あるいはPHP 4.3.11にアップグレードすべきだろう。

 最新版は,The PHP Development Teamのダウンロード・ページなどから入手できる。

◎参考資料
PHP 5.0.4 and 4.3.11 Released(The PHP Development Team)
PHP 4 ChangeLog
PHP 5 ChangeLog
PHP:Downloads
PHP getimagesize() Multiple Denial of Service Vulnerabilities(米DEFENSE)
PHP Multiple Vulnerabilities(デンマークSecunia)

(勝村 幸博=IT Pro)