Critical PHP Vulnerabilities Patched: Update Immediately to Mitigate Attacks
2024/04/14 SecurityOnline — PHP のバージョン 8.1.28/8.2.18/8.3.6 に影響を及ぼす複数の脆弱性に対して、緊急のセキュリティ・パッチがリリースされた。これらの脆弱性は、クリティカルなコマンド・インジェクションの不具合から、 アカウント漏洩にいたるまでの多岐にわたり、 Web サイトやアプリケーションで PHP を利用している、ユーザーと開発者の双方にとって、 早急な対応が必要なものである。
主な脆弱性と潜在的な影響
- CVE-2024-1874 (Critical):Windows システムにおける不適切なコマンドライン処理に起因する。攻撃者による任意のコマンド・インジェクションにいたる可能性があり、PHP アプリケーションがバッチ (*.bat) やコマンド (*.cmd) を実行した場合には、システムの乗っ取りにつながる可能性が生じる。
- CVE-2024-2756 (Medium): 以前のパッチにおける不完全な修正により、攻撃者により設定された悪意のクッキーを、 PHP アプリケーションが安全なものと誤認する可能性が生じる。
- CVE-2024-3096 (低): 深刻な欠陥であり、password_hash を使用したシステムにおいて、 攻撃者にパスワード認証をバイパスされる可能性が稀にある。ユーザーのパスワードが、ヌルバイトで始まるという極めて稀なシナリオが前提となる。
- CVE-2024-2757 (High): mb_encode_mimeheader 関数への特定の入力により、無限ループの可能性が生じる。この脆弱性は、電子メールの処理を中断させ、サービス拒否攻撃を引き起こす可能性を持つ。
自分自身を守るために必要なことは?
- 直ちにアップデート: 影響を受ける PHP のバージョン (8.1.28/8.2.18/8.3.6) を使用している場合には、可能な限り早急に、パッチを適用した最新バージョンにアップデートする必要がある。ホスティング・プロバイダやディストリビューションのサポート・チャネルおよび、 PHP の公式 Web サイトを参照してほしい。
- コードとプラクティスを見直す (開発者): コマンドライン引数/バッチファイル/Cookie/電子メール処理などと、やり取りする全てのコードを精査する:
- コマンドラインの安全性: PHP からコマンドライン操作を実行する必要のある場合において、 特に Windows システムにおいては、細心の注意を払う必要がある。可能な限り、別の方法を検討すべきである。
- クッキーの取り扱い: Cookie の処理手順を再確認し、__Host- および __Secure- の接頭辞が、正しくチェックされていることを確認する。
- 電子メールのセキュリティ:メール処理機能を注意深く調べ、不正な入力が mb_encode_mimeheader 脆弱性を悪用する、潜在的な攻撃ベクターを特定する。
- 情報の入手: サイバー・セキュリティに関するニュースソースや、PHP プロジェクトのセキュリティ・アナウンスメントをサブスクライブし、新たな脅威やパッチについて常に把握しておく。
今回の PHP のパッチは、常に進化し続ける脅威の状況を表している。ソフトウェアを最新の状態に保ち、安全なコーディングを実践し、警戒を怠らないことで、悪用されるリスクを大幅に減らすことが可能となる。
PHP に脆弱性とのことです。つい先日の 2024/04/10 に、「WordPress Core に脆弱性:バージョン 6.5.2 への移行を急いでほしい」という記事があり、関連性が気になったので調べましたが、あちらは XSS の脆弱性とのことでした。よろしければ、PHP で検索も、ご利用ください。
You must be logged in to post a comment.