-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2012-0016 JPCERT/CC 2012-05-09(初版) 2012-05-10(更新) <<< JPCERT/CC Alert 2012-05-09 >>> PHP の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120016.html PHP Group より php-cgi のリクエスト処理に関する脆弱性が公開されました。 PHP Group によると、Web サーバ上に PHP を CGI モードで動作させている場合、 遠隔の第三者が PHP スクリプトのソースコードを閲覧したり、Web サーバの権 限で任意のコードを実行したりする可能性があるとのことです。 本脆弱性を使用する攻撃手法が公開されています。「III. 確認方法」を参考 に、自身が管理するサーバが本脆弱性の影響を受けるか確認し、影響を受ける 場合は、PHP Group が提供する修正済みバージョンへアップデートすることを お勧めします。 PHP Group #61910 VU#520827 - PHP-CGI query string parameter vulnerability https://bugs.php.net/bug.php?id=61910 II. 対象 以下のバージョンが脆弱性の影響を受けます。 - PHP version 5.4.3 より前のバージョン - PHP version 5.3.13 より前のバージョン III. 確認方法 PHP Group によると、末尾に「?-s」(ソースコードを表示させるオプション) を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示された 場合は、本脆弱性の対象になるとのことです。 (確認方法の例) http://example.com/index.php?-s ※ URL は一例です。 ※ モジュールモードと CGI モードを併用されている可能性がある場合は PHP が動作する各ディレクトリで確認してください。 *** 更新: 2012年5月10日追記 ****************************************** 5月3日に PHP Group より公開された PHP5.4.2/PHP5.3.12 は、一部対策が 施されているため、本確認方法を行った場合でもソースコードが表示されない 可能性があります。 ********************************************************************** IV. 対策 PHP Group より本脆弱性を修正したバージョンが公開されています。十分な テストを実施の上、修正済みバージョンを適用することをお勧めします。 修正済みバージョン - PHP version 5.4.3 - PHP version 5.3.13 ※ PHP 5.2 は、2011年1月にサポートが終了していますので、5.2 以前のバー ジョンをお使いの方は、アップグレードされることお勧めします。 ディストリビュータが提供している PHP をお使いの場合は、使用中のディ ストリビュータの情報を参照してください。 V. 参考情報 PHP Group PHP 5.4.3 and PHP 5.3.13 Released! http://www.php.net/archive/2012.php#id2012-05-08-1 PHP Group #61910 VU#520827 - PHP-CGI query string parameter vulnerability https://bugs.php.net/bug.php?id=61910 JVNVU#520827 PHP-CGI の query string の処理に脆弱性 https://jvn.jp/cert/JVNVU520827/index.html *** 更新: 2012年5月10日追記 ****************************************** Debian DSA-2465-1 php5 -- several vulnerabilities http://www.debian.org/security/2012/dsa-2465 Canonical Ltd. CVE-2012-2311 in Ubuntu http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-2311.html Novell, Inc. SUSE-SU-2012:0604-1: critical: Security update for PHP5 http://lists.opensuse.org/opensuse-security-announce/2012-05/msg00011.html ********************************************************************** 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2012-05-09 初版 2012-05-10 「III. 確認方法」および参考情報に追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBT6t+3jF9l6Rp7OBIAQjgcwgApjHytEe3DX4Pu4EGXoHZOt0YvPadLGtL MF4yvVFOiVnc8DpLmwpDcy6kuTV6oGwxxkogIjhrTvjgwWJkQ28dps4GZ0x0TtKo 9PZTIlnKl9zPUswsHTFQ2yQxMVQt7rojAQPUalj7RF4+HycSrff86G2SsVlgDTSN 1mEgOl6pJvN9ey10JBMVRgOP1DygA5LCTnv94+o1d6NeNNoO0TS3NcMuwEznbAzc 4lnEe6G+lOSmYFGZftB6KeqC/Uk0Si8CwM4ClAMC8cdcc2tZek3QMKDeXFwPvW1x f1IsbYJSgXyA5M8PcJYA5hSDiP+eqKnopVkNRhvu0oASu/l5TCaX8w== =Ig3k -----END PGP SIGNATURE-----