サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

PHP の脆弱性に関する注意喚起

最終更新: 2012-05-10 
各位

                                                   JPCERT-AT-2012-0016
                                                             JPCERT/CC
                                                      2012-05-09(初版)
                                                      2012-05-10(更新)

                  <<< JPCERT/CC Alert 2012-05-09 >>>

                     PHP の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2012/at120016.html


  PHP Group より php-cgi のリクエスト処理に関する脆弱性が公開されました。
PHP Group によると、Web サーバ上に PHP を CGI モードで動作させている場合、
遠隔の第三者が PHP スクリプトのソースコードを閲覧したり、Web サーバの権
限で任意のコードを実行したりする可能性があるとのことです。

  本脆弱性を使用する攻撃手法が公開されています。「III. 確認方法」を参考
に、自身が管理するサーバが本脆弱性の影響を受けるか確認し、影響を受ける
場合は、PHP Group が提供する修正済みバージョンへアップデートすることを
お勧めします。

    PHP Group
    #61910 VU#520827 - PHP-CGI query string parameter vulnerability
    https://bugs.php.net/bug.php?id=61910


II. 対象

  以下のバージョンが脆弱性の影響を受けます。

  - PHP version 5.4.3 より前のバージョン
  - PHP version 5.3.13 より前のバージョン


III. 確認方法

  PHP Group によると、末尾に「?-s」(ソースコードを表示させるオプション)
を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示された
場合は、本脆弱性の対象になるとのことです。

   (確認方法の例)
   http://example.com/index.php?-s

   ※ URL は一例です。
   ※ モジュールモードと CGI モードを併用されている可能性がある場合は
      PHP が動作する各ディレクトリで確認してください。

*** 更新: 2012年5月10日追記 ******************************************
  5月3日に PHP Group より公開された PHP5.4.2/PHP5.3.12 は、一部対策が
施されているため、本確認方法を行った場合でもソースコードが表示されない
可能性があります。
**********************************************************************


IV. 対策

  PHP Group より本脆弱性を修正したバージョンが公開されています。十分な
テストを実施の上、修正済みバージョンを適用することをお勧めします。

  修正済みバージョン
  - PHP version 5.4.3
  - PHP version 5.3.13

  ※ PHP 5.2 は、2011年1月にサポートが終了していますので、5.2 以前のバー
     ジョンをお使いの方は、アップグレードされることお勧めします。

  ディストリビュータが提供している PHP をお使いの場合は、使用中のディ
ストリビュータの情報を参照してください。


V. 参考情報

    PHP Group
    PHP 5.4.3 and PHP 5.3.13 Released!
    http://www.php.net/archive/2012.php#id2012-05-08-1

    PHP Group
    #61910 VU#520827 - PHP-CGI query string parameter vulnerability
    https://bugs.php.net/bug.php?id=61910

    JVNVU#520827
    PHP-CGI の query string の処理に脆弱性
    https://jvn.jp/cert/JVNVU520827/index.html

*** 更新: 2012年5月10日追記 ******************************************
    Debian
    DSA-2465-1 php5 -- several vulnerabilities
    http://www.debian.org/security/2012/dsa-2465

    Canonical Ltd.
    CVE-2012-2311 in Ubuntu
    http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-2311.html

    Novell, Inc.
    SUSE-SU-2012:0604-1: critical: Security update for PHP5
    http://lists.opensuse.org/opensuse-security-announce/2012-05/msg00011.html
**********************************************************************

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2012-05-09 初版
2012-05-10 「III. 確認方法」および参考情報に追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: [email protected]
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

緊急情報を確認する

おすすめ情報