PHP 4.3.1 Release Announcement

この和訳は藤本@techstyle.jp 様に頂きました。ありがとう御座います。

ご注意
藤本様に質問のメールなどを出すのはご遠慮ください。
和訳に関する質問やミスや改良案などございます方はwebstaffまでお願いします。
原文はhttp://www.php.net/release_4_3_1.phpになりますのでそちらをご参照下さい。
また、技術的な内容に関しましてはPHP-usersメーリングリストへお願いします。

PHP Security Advisory: CGI vulnerability in PHP version 4.3.0

Issued on:    February 17, 2003

Software:    PHP version 4.3.0

Platforms:    All

PHPグループはPHP 4.3.0のCGI SAPIにセキュリティ上重大な脆弱性があることを確認しました。

概要

PHPにはCGIバイナリに対する直接のアクセスを防ぐために、configureオプション "--enable-force-cgi-redirect"とphp.iniオプション"cgi.force_redirect"という仕組みが用意されています。PHP 4.3.0にはこれらのオプションが無効になってしまうバグがあります。

ノート: このバグは他のSAPIモジュール(ApacheやISAPIモジュール等)にはまったく影響しません。

影響

上記に該当するCGIモジュールがインストールされているウェブサイトにアクセスすることが出来る全ての人は、そのウェブサーバが読み込む権限を持っている全てのファイルへのアクセスを得ることが出来てしまいます。

また、攻撃者はたとえばウェブサーバのアクセスログのような、CGIの動作によって書き込みが行われるファイルにコードを埋め込むことによって、任意のPHPコードを実行することも可能です。

解決策

PHPグループはこの脆弱性を修正した新しいバージョンのPHP 4.3.1をリリースしました。該当するPHPのバージョンを使用しているユーザは、この最新のバージョンへのアップグレードが推奨されます。ダウンロードサイトは

　　　　　　 http://www.php.net/downloads.php

です。ここで4.3.1のソースtar ball、Windows用バイナリ、4.3.0のソースコードに対するパッチファイルをダウンロードすることが出来ます。ただし、アップグレードはPHP 4.3.0でCGIモジュールを使用している場合のみ必要となります。脆弱性の修正以外のバグフィクスはこのリリースには含まれていません。

回避策

なし

クレジット

PHPグループはこの脆弱性を発見してくれたKosmas Skiadopoulosに感謝します。

Issued on:		February 17, 2003
Software:		PHP version 4.3.0
Platforms:		All