PHPの脆弱性がいろいろ出ました。 マイナーな関数ですが、スコア結構高いですね・・・・
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3307
脆弱性の概要:DOS
・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3329
脆弱性の概要:バッファオーバーフローからのPHPのプロセスクラッシュ or 任意のコード実行の可能性
・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4022
脆弱性の概要:バッファオーバーフローからのPHPのプロセスクラッシュ or 任意のコード実行の可能性
・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4025
脆弱性の概要:NULL文字を適切に扱っていない箇所で予期せぬ動作をおこす可能性がある
・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4026
脆弱性の概要:NULL文字を適切に扱っていない箇所で予期せぬ動作をおこす可能性がある
・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4147
脆弱性の概要:任意のコード実行の可能性
・PHP 5.4.39 未満
・PHP 5.6.7 未満の 5.6.x
・PHP 5.5.23 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3330
脆弱性の概要:DOS
・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2783
脆弱性の概要:DOS
・PHP 5.4.40 未満
・PHP 5.6.8 未満の 5.6.x
・PHP 5.5.24 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4021
脆弱性の概要:DOS
・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4024
脆弱性の概要:DOS
簡単に作成可能なリクエストでCPU負荷を急激に上げることが可能なせいか、わりと有名?
http://hakaikosen.hateblo.jp/entry/2015/05/30/204358
http://hatyuki.hatenablog.jp/entry/2015/06/05/152055
・PHP 5.4.41 未満
・PHP 5.6.9 未満の 5.6.x
・PHP 5.5.25 未満の 5.5.x
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4148
脆弱性の概要:PHPのプロセスがクラッシュ or 任意のコード実行の可能性
・PHP 5.4.39 未満
・PHP 5.6.7 未満の 5.6.x
・PHP 5.5.23 未満の 5.5.x
まとめとしては
- PHP 5.4.41
- PHP 5.6.9
- PHP 5.5.25
にしとけば大丈夫そうです。
AmazonLinuxはすでに修正バージョンがリリースされていましたが、
CentOS系のremiリポジトリのPHP5.4はまだ40までしか出ていないようです。
追記:remiで5.4.42が出たようです。脆弱性の概要を追加しました。
