PHP 4.3.1 Release Announcement
この和訳は 藤本@techstyle.jp 様に頂きました。ありがとう御座います。
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0
Issued on: | | February 17, 2003 |
Software: | | PHP version 4.3.0 |
Platforms: | | All |
PHPグループはPHP 4.3.0のCGI SAPIにセキュリティ上重大な脆弱性があることを確認し
ました。
概要
PHPにはCGIバイナリに対する直接のアクセスを防ぐために、configureオプション
"--enable-force-cgi-redirect"とphp.iniオプション"cgi.force_redirect"という
仕組みが用意されています。PHP 4.3.0にはこれらのオプションが無効に
なってしまうバグがあります。
ノート: このバグは他のSAPIモジュール(ApacheやISAPIモジュール等)には
まったく影響しません。
影響
上記に該当するCGIモジュールがインストールされているウェブサイトに
アクセスすることが出来る全ての人は、そのウェブサーバが読み込む権限を
持っている全てのファイルへのアクセスを得ることが出来てしまいます。
また、攻撃者はたとえばウェブサーバのアクセスログのような、CGIの動作によって
書き込みが行われるファイルにコードを埋め込むことによって、任意のPHPコードを
実行することも可能です。
解決策
PHPグループはこの脆弱性を修正した新しいバージョンのPHP 4.3.1を
リリースしました。該当するPHPのバージョンを使用しているユーザは、
この最新のバージョンへのアップグレードが推奨されます。ダウンロードサイトは
http://www.php.net/downloads.php
です。ここで4.3.1のソースtar ball、Windows用バイナリ、4.3.0のソースコードに
対するパッチファイルをダウンロードすることが出来ます。ただし、
アップグレードはPHP 4.3.0でCGIモジュールを使用している場合のみ必要となります。
脆弱性の修正以外のバグフィクスはこのリリースには含まれていません。
回避策
なし
クレジット
PHPグループはこの脆弱性を発見してくれたKosmas Skiadopoulosに感謝します。