Multiple Vulnerabilities Discovered in PHP, Prompting Urgent Security Updates
2024/09/29 SecurityOnline — 先日に PHP プロジェクトが公開したセキュリティ勧告は、PHP の各バージョンに影響を及ぼす、複数の脆弱性に関するものだ。これらの脆弱性が悪用されると、ログの改ざん/任意のファイルのインクルード/データの整合性違反などの可能性が生じる。すべての PHP ユーザーに推奨されるのは、最新の修正版へと直ちにシステムを更新することだ。
主な脆弱性と影響
- CVE-2024-9026:PHP-FPM におけるログ改ざんの脆弱性
この脆弱性の悪用に成功した攻撃者は、ログ・エントリへの余計な文字の挿入や、最大で4文字の削除を可能にする。それにより、インシデント対応やフォレンジック調査が妨げられる可能性がある。 - CVE-2024-8927:cgi.force_redirect のバイパス 設定の脆弱性
この脆弱性の悪用に成功した攻撃者は、cgi.force_redirect 設定による制限の回避を達成し、特定の設定において任意のファイルをインクルードする可能性を得る。それにより、機密データが漏洩し、不正アクセスが可能になる。 - CVE-2024-8926:PHP CGI のパラメータ・インジェクション脆弱性
この脆弱性は、特定の非標準 Windows コードページ・コンフィグにおいて、以前の修正 CVE-2024-4577 を回避する。現実の環境では発生する可能性は低いとされる脆弱性だが、対応は不可欠である。 - CVE-2024-8925:マルチパート・フォーム・データの誤った解析の脆弱性
このマルチパート・フォーム・データの解析におけるバグにより、誤ったデータ処理が行われ、データの整合性が損なわれる可能性がある。 特定の条件下で、この脆弱性を悪用する攻撃者は、正当なデータの一部を除外することが可能となる。
影響を受けるバージョンとパッチ適用済みバージョン
これらの脆弱性は、PHP 8.1.30/8.2.24/8.3.12 で修正されている。
これらの脆弱性により、データ漏洩/システム侵害/サービスの中断などの、深刻な結果が生じる可能性がある。脆弱なバージョンの PHP (8.1.30 未満/8.2.24 未満/8.3.12 未満) を利用しているユーザーは、可能な限り早急に、最新のパッチが適用されたバージョンへと更新する必要がある。
PHP に複数の脆弱性です。ご利用のチームは、ご注意ください。ありとあらゆる企業や組織が、Web を介して外部とのインタラクションを構築している、いまの世の中において、PHP は極めて重要なインフラになっています。このレイヤーのセキュリティは、とても重要ですね。よろしければ、PHP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.