トップ » 製品・サービス » サポート » PHP4 セキュリティ保守サービス

サポート

PHP4 パッチ情報

「PHP4 セキュリティ保守サービス」でご契約の皆様に提供しているパッチです。2009年8月までにリリースしたものを掲載しておりますが、それ以降も継続的にパッチをリリースしております。現在、PHP 5.3.6 のセキュリティ修正に対応したパッチまで提供しています。

PHP 4.4.9 パッチ一覧

※ 名称に CVE-XXXX-XXXX が含まれているものは、CVE 脆弱性識別子に対応したものです。

PHP_4_4-exif.patch: exif_read_file関数で不正なJPEGファイルを読み込んだ場合、パラメータが正しく初期化されずメモリを内容を不正に参照される可能性があり、これを修正します。
(2009/8/5 リリース PHP 5.2.10対応)
PHP_4_4-explode-5.2.9.patch: explode関数が文字列が空の場合の負のlimit値のチェックを行っていない為、本来アクセスできないはずのメモリ領域の内容を参照可能になっていた不具合を修正します。
(2009/8/5 リリース PHP 5.2.10対応)
PHP_4_4-escape_shell_cmd-CVE-2008-2051.patch: escape_shell_cmd()/escape_shell_arg()が文字エンコーディングを考慮したエスケープ処理を行っていません。文字エンコーディングを考慮したエスケープ処理を行うようにして、コマンドインジェクションを防ぎます。
(2009/8/5 リリース PHP 5.2.10対応)
php-4.3.9-CVE-2007-4782.patch: ファイル処理で不正に長いファイル名の場合、バッファオーバーフローが発生するのを修正します。
(2009/8/5 リリース PHP 5.2.10対応)
php-4.3.9-CVE-2007-5899.patch: URLスキャナがURLを正しく解析できないのを修正し、JavaScriptインジェクションを防ぎます。
(2009/8/5 リリース PHP 5.2.10対応)
php-4.4.9-CVE-2005-3388.patch: phpinfo関数の出力にHTMLエスケープ処理を追加します。
(2009/8/5 リリース PHP 5.2.10対応)
php-4.4.9-CVE-2007-0909-printf.patch: 64ビットアーキテクチャの場合、ワードサイズの違いにより正数オーバーフローが発生します。これを修正し、任意コード実行の可能性を塞ぎます。
(2009/8/5 リリース PHP 5.2.10対応)
php-5.1.6-CVE-2008-210x.patch: srand関数による乱数生成器の初期化が脆弱であるため、乱数の予測が容易であるものを修正します。
(2009/8/5 リリース PHP 5.2.10対応)
PHP_4_4-mbstring-encoding-5.2.9.patch: CP936(中国語簡体字の文字セット)のコード判定に不具合があるものを修正。SQLインジェクションなどを防ぎます。
(2009/8/5 リリース PHP 5.2.10対応)
PHP_4_4-page_uid.patch: mmapやsafe_modeを利用するときに使われるpage_uid/page_gidをクリーンアップするコードを追加します。
(2009/8/5 リリース PHP 5.2.10対応)
PHP_4_4-allow_url_include.patch: PHP5 で追加された allow_url_include オプションのバックポートしたパッチ。include / require 文が URL のスクリプトファイルにアクセス可能か設定するものです。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-crypt_zts.patch: ZTS(Zend Thread Safty) モードで動作している場合に、crtypt 関数が適切なロックを使用しないことによってレースコンディションが発生するのを修正するパッチ。
PHP_4_4-fcgi_url_crash_CVE-2008-3660.patch: 「..」がファイル名に含まれる場合に、CGI がクラッシュして DoS が可能となるのを修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-gd.patch: PHP 4.4.8 で更新されていない libgd を更新するパッチ。バッファオーバーフローなどの危険な脆弱性を修正します。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-html-escape.patch: PHP 5.2.5 で追加された不正なマルチバイト文字列を受け付けないという変更を、バックポートしたパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-imap_overflow-CVE-2008-2829.patch: IMAP モジュールが新しい IMAP の API を用いていないため、オーバーフローが発生する障害が残るのを修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-mb_check_encoding.patch: mb_check_encoding 関数の第一引数にヌル文字が含まれていた場合に、正しく文字エンコーディングチェックが行えない不具合を修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-mbstring-CVE-2008-5557.patch: 設定状態によってはリモートから任意コード実行が可能と考えられる、ヒープオーバーフローが発生するのを修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-mysql_set_charset.patch: MySQL で SET NAMES を利用して SJIS 文字エンコーディングを指定しなければならない環境において、SQL インジェクションを防ぐための関数をバックポートしたパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-pcre_CVE-2008-2371.patch: PHP4 にバンドルされている Perl 互換正規表現ライブラリ (PCRE) が古いために、特定正規表現で任意コードが実行される可能性がある、バッファーオーバーフローが起こるのを修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-pg_escape_string.patch: PostgreSQL でマルチバイト文字による SQL インジェクションを防ぐ pg_escape_string 関数と pg_escape_bytea 関数の拡張をバックポートしたパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-php_value_order.patch: PHP の Apache および Apache2 SAPI で、ローカルから不正に PHP 設定を変更できる障害を修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-refcount-overflow.patch: メモリ破壊を防ぐパッチ。このメモリ破壊は、悪意のあるスクリプトによる任意コード実行に利用される可能性があります。
(2009/3/16 リリース PHP 5.2.9対応)
PHP_4_4-strict-session.patch: PHP セッションモジュールの Session Adoption 脆弱性を修正するパッチ。
(2009/3/16 リリース PHP 5.2.9対応)