PHP 5.5.10がリリースされた模様

PHP開発チームから、PHP 5.5.10が緊急リリースされた模様。バグ修正版ということだが、大きなセキュリティに関する修正が3件ほど入っているようだ。CVE-2014-1943CVE-2014-2270CVE-2013-7327の3件が対応されているようだ。

■PHP 5.5.10 released
http://www.php.net/archive/2014.php#id2014-03-06-1
■Version 5.5.10 ChangeLog
http://www.php.net/ChangeLog-5.php#5.5.10

“We recommand all PHP 5.5 users to upgrade to this version.”とのことなので、パッケージインストール利用者は更新状況などを注視する必要もあるだろう。

[Sponsored Link]


CVE-2014-1943とCVE-2014-2270はいずれもfileinfo()まわりについての修正で、1つはfile(1)の無限再帰に対応したもののようだ。CVE-2014-1943を見る限りでも、やはりfile(1)に起因するものらしい。JVNでも同じアナウンスが出ている。CVE-2014-2270のほうはメモリ境界越えの問題のようである。

CVE-2013-7327はGDライブラリを用いた画像トリミング処理関数の問題で、imagecrop()を使った場合に発生する問題への対応の模様。幅・高さのマイナス値チェックはしているが幅×高さのオーバーフローでGDライブラリ側から返されるNULLのチェックをしていないために発生するようだ。逆に幅・高さのチェックは不要でGDライブラリから戻されるNULLを適宜チェックするような修正パッチがあてられたようだ。

PHP逆引きレシピ 第2版 (PROGRAMMER’S RECiPE)よくわかるPHPの教科書 【PHP5.5対応版】PHP+MySQLマスターブック初めてのPHP、MySQL、JavaScript&CSS 第2版10日でおぼえるPHP入門教室 第4版

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください