-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2012-0004
                                                             JPCERT/CC
                                                            2012-02-06

                  <<< JPCERT/CC Alert 2012-02-06 >>>

                  PHP 5.3.9 の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2012/at120004.html


I. 概要

  PHP 5.3.9 の脆弱性情報が 2012年2月2日に公開されました。この脆弱性を
使用された場合、結果として遠隔の第三者によって任意のコードを実行される
可能性があります。

  JPCERT/CC では本脆弱性を使用する実証コードが公開されていることを確認
していますので、管理するサーバにおいて PHP を使用している場合は、
PHP Group が提供する修正済みバージョン (PHP 5.3.10) へアップデートする
ことをお勧めします。

    PHP 5.3.10 Released!
    http://news.php.net/php.announce/87

  なお、PHP 5.3.8 以前のバージョンを使用している場合は、本脆弱性の影響
を受けませんが、既知の脆弱性によって任意のコードが実行されたり、サービ
ス運用妨害 (DoS) 攻撃の影響を受けたりする可能性がありますので、最新の
バージョンにアップデートすることをお勧めします。


II. 対象

  以下のバージョンが本脆弱性の影響を受けます。

  - PHP 5.3.9


III. 対策

  PHP Group から本脆弱性を修正したバージョンが公開されています。十分な
テストを実施の上、修正済みバージョンを適用することをお勧めします。また、
一部のディストリビュータなどからも修正済みプログラムが提供されています。
詳細は各ディストリビュータの情報をご参照ください。

  修正済みバージョン
  - PHP 5.3.10

    PHP Group
    PHP: Downloads
    http://www.php.net/downloads.php

    PHP For Windows: Binaries and sources Releases
    http://windows.php.net/download/

  ※ PHP 5.2 は、2011年1月にサポートが終了していますので、5.2 以前のバー
     ジョンをお使いの方は、最新のバージョンを使用されることお勧めします。

  2月は情報セキュリティ月間ですので、今一度管理しているサイトにおいて、
脆弱性のあるソフトウエアやサポートが切れたソフトウエアを使用していない
か確認することをお勧めします。


III. 参考情報

    Red Hat, Inc.
    CVE-2012-0830
    https://www.redhat.com/security/data/cve/CVE-2012-0830.html

    RHSA-2012:0092-1
    https://rhn.redhat.com/errata/RHSA-2012-0092.html

    RHSA-2012:0093-1
    https://rhn.redhat.com/errata/RHSA-2012-0093.html

    Debian
    Debian Security Advisory
    DSA-2403-1 php5 -- code injection
    http://www.debian.org/security/2012/dsa-2403

    内閣官房情報セキュリティセンター
    情報セキュリティ月間[国民を守る情報セキュリティサイト]
    http://www.nisc.go.jp/security-site/month/index.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEVAwUBTy9QQjF9l6Rp7OBIAQhxgQf8CoiEGP4Vs0YHFampOVd+/oL+++B7ydJL
P7wG8+BlOuX562vasBsn5lSQVoUgqWmkW1EspbKCiywJaA/ujsjawQ5DLQFiKJPa
37bN6PRRoryNOs6o6nYnKJ6yetpXsZ0KUqFzQtZL5TBuouTyKfWz36hLQDoczPmN
W/gFTACx1lk31Li9PyGNFOEtpWQKeuH8JOBxZZKhq6m0gMvrG9Zu0vFIT+RXGwZI
z1gsNOuJY+Ex/K7rknIqsrFNCpE64G+UGoCK0nmdTt6TCgtmhTXzjscL7uGOpq5k
Xj2/y8QNKyoGwmbEPJ2a85ISDbRsZ6fVnzqYJEibZqj8+yreda1kdw==
=L/xw
-----END PGP SIGNATURE-----