JPCERT コーディネーションセンター

PHP の脆弱性に関する注意喚起

各位

JPCERT-AT-2012-0016
JPCERT/CC
2012-05-09(初版)
2012-05-10(更新)

JPCERT/CC Alert 2012-05-09


PHP の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2012/at120016.html


PHP Group より php-cgi のリクエスト処理に関する脆弱性が公開されました。PHP Group によると、Web サーバ上に PHP を CGI モードで動作させている場合、遠隔の第三者が PHP スクリプトのソースコードを閲覧したり、Web サーバの権限で任意のコードを実行したりする可能性があるとのことです。

本脆弱性を使用する攻撃手法が公開されています。「III. 確認方法」を参考に、自身が管理するサーバが本脆弱性の影響を受けるか確認し、影響を受ける場合は、PHP Group が提供する修正済みバージョンへアップデートすることをお勧めします。

PHP Group
#61910 VU#520827 - PHP-CGI query string parameter vulnerability
https://bugs.php.net/bug.php?id=61910


II. 対象

以下のバージョンが脆弱性の影響を受けます。

- PHP version 5.4.3 より前のバージョン
- PHP version 5.3.13 より前のバージョン


III. 確認方法

PHP Group によると、末尾に「?-s」(ソースコードを表示させるオプション)を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示された場合は、本脆弱性の対象になるとのことです。

(確認方法の例)
http://example.com/index.php?-s

※ URL は一例です。
※ モジュールモードと CGI モードを併用されている可能性がある場合は
PHP が動作する各ディレクトリで確認してください。

*** 更新: 2012年5月10日追記 ****************
5月3日に PHP Group より公開された PHP5.4.2/PHP5.3.12 は、一部対策が施されているため、本確認方法を行った場合でもソースコードが表示されない可能性があります。
**************************************************


IV. 対策

PHP Group より本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

修正済みバージョン
- PHP version 5.4.3
- PHP version 5.3.13

※ PHP 5.2 は、2011年1月にサポートが終了していますので、5.2 以前のバー
ジョンをお使いの方は、アップグレードされることお勧めします。

ディストリビュータが提供している PHP をお使いの場合は、使用中のディストリビュータの情報を参照してください。


V. 参考情報

PHP Group
PHP 5.4.3 and PHP 5.3.13 Released!
http://www.php.net/archive/2012.php#id2012-05-08-1

PHP Group
#61910 VU#520827 - PHP-CGI query string parameter vulnerability
https://bugs.php.net/bug.php?id=61910

JVNVU#520827
PHP-CGI の query string の処理に脆弱性
https://jvn.jp/cert/JVNVU520827/index.html

*** 更新: 2012年5月10日追記 ****************
Debian
DSA-2465-1 php5 -- several vulnerabilities
http://www.debian.org/security/2012/dsa-2465

Canonical Ltd.
CVE-2012-2311 in Ubuntu
http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-2311.html

Novell, Inc.
SUSE-SU-2012:0604-1: critical: Security update for PHP5
http://lists.opensuse.org/opensuse-security-announce/2012-05/msg00011.html
**************************************************

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2012-05-09 初版
2012-05-10 「III. 確認方法」および参考情報に追記

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter