インフォメーション
【再追記】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして
平素はヘテムルをご利用いただき、誠にありがとうございます。
ヘテムルでも提供をしておりますPHPのCGI版にて、
PHPページを表示する際のGETパラメーターに
「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が付加した時に、
PHPのソースコードが表示されるという脆弱性の問題が生じております。
▼【php.net】脆弱性に対するバージョンアップ[英文](PHP 5.3.12 and PHP 5.4.2 Released!)
http://www.php.net/archive/2012.php#id2012-05-03-1
ヘテムルでは、緊急対応といたしまして、GETパラメーターに
「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が含まれている場合、
PHPプログラムの処理を行わず403エラーを返すように対応をいたしました。
【脆弱性URL例】
http://example.heteml.jp/?-s
http://example.heteml.jp/example.php?ex=1234&-ism=0000
などのURLでアクセスした場合
【脆弱性対応前】
脆弱性によりPHPソースコードがブラウザ上に表示される
↓
【脆弱性対応後】
GETパラメーターが「「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が含まれる場合は、
403エラーページを表示することでお客様のPHPソースコードが
閲覧されることを防いでおります。
※.htaccessにより.html等の拡張子でもPHPが動くように設定されている場合も同様に403エラーとなります。
※PHP4におきましては、本件の脆弱性は確認されておりません。
重要度の高い脆弱性の対応となりますため、緊急にて対応をさせていただきました。
本脆弱性に対して今後の対応で提供しておりますPHPのバージョンアップ等を
行う必要が発生する場合には、別途ご連絡を差し上げます。
何卒ご理解の程お願い申し上げます。
今後とも、ヘテムルをよろしくお願いいたします。
-----------------------------------------------------------
【2012/05/07(月) 12:40 追記】
先日のPHPに関する脆弱性に加え、新たに別の脆弱性が確認されたため、
以下ご案内させていただきます。
CGI版のPHP5.2及びPHP5.3におきまして、PHPページを
表示する際のGETパラメーターに、「-(ハイフン)」で始まり
加えて「d(小文字のディー)」が付加された際、PHP.iniの設定が
上書きされる脆弱性の問題が生じております。
▼【php.net】脆弱性に対するバージョンアップ
[英文](PHP 5.3.12 and 5.4.2 and the CGI flaw (CVE-2012-1823))
http://www.php.net/archive/2012.php#id2012-05-06-1
ヘテムルでは、緊急対応といたしまして、GETパラメーターに
「-(ハイフン)」で始まり、加えて「d(小文字のディー)」が
含まれている場合、PHPプログラムの処理を行わず403エラーを
返すように対応をいたしました。
【脆弱性対応前】
脆弱性によりPHP.iniの設定が上書きされる
↓
【脆弱性対応後】
GETパラメーターが「-(ハイフン)」で始まり、
加えて「d(小文字のディー)」が含まれる場合は、
403エラーページを表示することで、お客様のPHP.iniが上書きされることを
防いでおります。
※.htaccessにより.html等の拡張子でもPHPが動くように
設定されている場合も同様に403エラーとなります。
重要度の高い脆弱性の対応となりますため
緊急にて対応をさせていただきました。
本脆弱性に対して今後の対応で提供しておりますPHPの
バージョンアップ等を行う必要が発生する場合には
別途ご連絡を差し上げます。
何卒ご理解の程お願い申し上げます。
今後とも、ヘテムルをよろしくお願いいたします。
-----------------------------------------------------------
【2012/05/08(火) 10:36 追記】
先日のPHPに関する脆弱性に加え、新たなパターンの脆弱性が確認されたため、
以下ご案内させていただきます。
ヘテムルでも提供をしておりますPHPのCGI版にて、
PHPページを表示する際のGETパラメーターに
「+-(プラスハイフン)」で始まり、加えて「s(小文字のエス)」
または「d(小文字のディー)」が付加した時に、
PHPのソースコードが表示されるもしくは、PHP.iniの設定が
上書きされるという脆弱性の問題が生じておりました。
ヘテムルでは、緊急対応といたしまして、GETパラメーターに
「+-(プラスハイフン)」で始まり、加えて「s(小文字のエス)」
または「d(小文字のディー)」が含まれている場合、
PHPプログラムの処理を行わず403エラーを返すように対応をいたしました。
【脆弱性対応前】
脆弱性によりPHPソースコードがブラウザ上に表示される
またはPHP.iniの設定が上書きされる
↓
【脆弱性対応後】
GETパラメーターが「+-(プラスハイフン)」で始まり、
加えて「s(小文字のエス)」または「d(小文字のディー)」が含まれる場合は、
403エラーページを表示することで、お客様のPHPソースコードがブラウザ上に
表示されるまたはPHP.iniが上書きされることを防いでおります。
※.htaccessにより.html等の拡張子でもPHPが動くように
設定されている場合も同様に403エラーとなります。
重要度の高い脆弱性の対応となりますため、緊急にて対応をさせていただきました。
本脆弱性に対して今後の対応で提供しておりますPHPのバージョンアップ等を
行う必要が発生する場合には、別途ご連絡を差し上げます。
何卒ご理解の程お願い申し上げます。
今後とも、ヘテムルをよろしくお願いいたします。
-----------------------------------------------------------
【追記】
本脆弱性の対応をPHPのバージョンを下記の通り
2012年5月24日にバージョンアップすることにより、対応を完了しております。
■PHPのバージョンアップ内容
PHP5.3:5.3.10 → 5.3.13
PHP5.2:5.2.8 → 5.2.17
■該当のメンテナンス情報
【完了】PHPセキュリティ対策メンテナンスのお知らせ
メンテナンス等ご協力いただきましてありがとうございました。
今後とも、ヘテムルをよろしくお願いいたします。
