PHPに複数の脆弱性、「早急にアップグレードを」

　PHPの動作するサーバを攻撃のリスクにさらす重要な欠陥が発見されたことを受け、ソフトウェア開発コミュニティPHP Groupは先週、PHPの最新版4.3.10および5.0.3を発表した。

　同グループはウェブサイトで、「PHPのユーザーは全員、早急にこれらのリリースにアップグレードするように」と忠告している。

　今回修正された脆弱性のうち最も深刻なのは、保存用データの圧縮機能に関するものだと思われる。これを発見したHardened-PHPグループによると、この欠陥を悪用すると、攻撃者はPHPが動作するウェブサーバを自由にコントロールできてしまうという。

　PHPは、ウェブページに埋め込むことで動的なコンテンツ生成を可能にするサーバサイドスクリプト言語と、各コマンドに対応する処理プログラムで構成されている。Blogやコンテンツ管理アプリケーションの多くがPHPで書かれている。

　同言語は、訪問者のクリックに応じてデータベースと連携し、新たなページを作成するなど、ウェブサイトのコンテンツをコントロールする目的で利用されることが多い。通常、PHPコードは、ウェブページのなかに埋め込まれ、訪問者のページリクエストに応じて実行される。コードが実行されると、一般的にはデータベースから文章や画像、個人設定などのコンテンツが呼び出され、ウェブページに表示される。

　Hardened-PHPコミュニティがリリースした勧告によると、同グループはこの深刻な欠陥に加え、ほかにも6件の脆弱性を発見したという。同グループは、脆弱性のパッチを適用しただけでなく、新たなセキュリティ機能を搭載したセキュリティ強化版のPHPを独自に開発／リリースしている。

　これらの脆弱性と、そのほかの細かいバグを修正したPHP Groupのアップデートは、同グループのウェブサイトで公開されている。