複数の脆弱性を修正した「PHP 4.4.1」リリース

クロスサイトスクリプティングをはじめ、7種類の脆弱性を修正したPHPの最新バージョンがリリースされた。

[ITmedia]

　10月31日、オープンソースのサーバサイドスクリプト言語「PHP」の最新版、PHP 4.4.1がリリースされた。数多くのバグ修正に加え、7種類に上る脆弱性が修正されており、開発チームではあらゆるユーザーに対してアップグレードを推奨している。

　PHP 4.4.1では、phpinfo()関数に存在するクロスサイトスクリプティングの脆弱性をはじめとする7種類の脆弱性が修正された。悪用されるとリモートから任意のスクリプトを実行されたり、セキュリティ制限をかいくぐってファイル情報を盗み見られるおそれがある。

　中でも、$GLOBALS配列のエラーに起因する脆弱性は影響範囲が広い。セキュアに作られたはずのサードパーティ製スクリプトやアプリケーションも攻撃を受ける恐れがある。問題を指摘したHardened-PHP Projectでは、PHPのPearライブラリをベースとしたものに対し、この問題をワームなどの形に悪用することはきわめて簡単だと指摘している。

　ただしSecuniaのセキュリティ情報では、一連の脆弱性のリスクは5段階評価のうち3（中程度）、FrSIRTでは4段階評価のうち3番目（高）と判断されている。

　脆弱性を修正するには、最新バージョンのPHP 4.4.1にアップグレードすること。問題はPHP5系列で、バージョン5.0.5（最新版）も含めたすべてのバージョンが影響を受けるというが、11月1日の時点ではまだ、公式の修正版やパッチはリリースされていない。