梅雨のPHP脆弱性祭り

PHPの脆弱性がいろいろ出ました。 マイナーな関数ですが、スコア結構高いですね・・・・

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3307

脆弱性の概要:DOS

・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3329

脆弱性の概要:バッファオーバーフローからのPHPのプロセスクラッシュ or 任意のコード実行の可能性

・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4022

脆弱性の概要:バッファオーバーフローからのPHPのプロセスクラッシュ or 任意のコード実行の可能性

・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4025

脆弱性の概要:NULL文字を適切に扱っていない箇所で予期せぬ動作をおこす可能性がある

・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4026

脆弱性の概要:NULL文字を適切に扱っていない箇所で予期せぬ動作をおこす可能性がある

・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4147

脆弱性の概要:任意のコード実行の可能性

・PHP 5.4.39 未満
・PHP 5.6.7 未満の 5.6.x
・PHP 5.5.23 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3330

脆弱性の概要:DOS

・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2783

脆弱性の概要:DOS

・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4021

脆弱性の概要:DOS

・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4024

脆弱性の概要:DOS

簡単に作成可能なリクエストでCPU負荷を急激に上げることが可能なせいか、わりと有名?

http://hakaikosen.hateblo.jp/entry/2015/05/30/204358

http://hatyuki.hatenablog.jp/entry/2015/06/05/152055

・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4148

脆弱性の概要:PHPのプロセスがクラッシュ or 任意のコード実行の可能性

・PHP 5.4.39 未満
・PHP 5.6.7 未満の 5.6.x
・PHP 5.5.23 未満の 5.5.x

まとめとしては

  • PHP 5.4.41
  • PHP 5.6.9
  • PHP 5.5.25

にしとけば大丈夫そうです。

AmazonLinuxはすでに修正バージョンがリリースされていましたが、
CentOS系のremiリポジトリのPHP5.4はまだ40までしか出ていないようです。

追記:remiで5.4.42が出たようです。脆弱性の概要を追加しました。