脆弱性を修正、スクリプト言語『PHP』の最新版

汎用スクリプト言語『PHP』のバージョン4およびバージョン5に、いくつもの脆弱性が見つかった。PHP 推進団体 PHP Group は、最新版『PHP 4.4.2』および『PHP 5.1.2』をリリースし、そちらにアップグレードするようユーザーに呼びかけている。

両最新版は、脆弱性を修正ずみだ。PHP 5.1.2 は、いくつか新機能も搭載している。

PHP 5.1.2 が修正した脆弱性の1つは、PHP のセッション拡張に存在するもので、任意の HTTP ヘッダ挿入が可能になり、クロスサイトスクリプティング (XSS) 攻撃を受けかねない。PHP ユーザー向けセキュリティ支援団体 Hardened-PHP Project は、「セキュリティ情報 01/2006」で、同脆弱性の深刻度を「重大」と分類している。

PHP 5.1.2 が修正した脆弱性の2つ目の脆弱性は、PHP の mysqli 拡張に存在し、意図的な例外処理状況を引き起こすことで、不正な遠隔コード実行が行なわれかねない。ただし、この脆弱性の深刻度について、Hardened-PHP Project の「セキュリティ情報 01/2006」は「低度」としている。

PHP Group の開発チームによると、PHP 5.1.2 は、85件のバグ修正を含み、さまざまな「クラッシュ」「リーク」「メモリ破損」などの問題を解消した。そして、PHP 4.4.2 は、30件以上のバグ修正を含み、XSS 攻撃の実行を許しかねない脆弱性も修正ずみだ。

PHP 4.4.2 について、Hardened-PHP Project の Stefan Esser 氏は、PHP 5.1.2 と同じ PHP ext/session HTTP Response Splitting に対する防御機能も内蔵していると述べている。

そして、次のようにも語った。「PHP アプリケーションにあるこの種のセキュリティバグは、今後のバージョンにおいては一切攻撃不可能になるだろう」

Hardened-PHP Project は昨年10月、バージョン4系列とバージョン5系列の PHP に関して、「16/2005」から「20/2005」まで5件ものセキュリティ情報を公開した。その際、PHP Group は、バージョン4については対応版の『PHP 4.4.1』を同月31日にリリースしたが、バージョン5の対応版『PHP 5.0.1』のリリースは11月24日と3週間あまり後だった。しかし、今回は、PHP 5.1.2 が1月12日、PHP 4.4.2 は1月13日と、ほぼ同時にリリースしている。