1. HOME
  2. Information
  3. Security Alert
  4. PHP-CGI の query string の処理に脆弱性

コンテンツ

Security Alert

PHP-CGI の query string の処理に脆弱性

publication date : May.10, 2012


■概要
PHP には,CGI として使用される設定において query string をコマンドラインオプションとして認識してしまう脆弱性が存在します.
遠隔の第三者によって,php スクリプトの内容を取得されたり,サービス運用妨害 (DoS) 攻撃を受けたり,ウェブサーバの権限で任意のコードを実行されたりする可能性があります.

■影響を受けるシステム
・PHP version 5.4.3 より前のバージョン
・PHP version 5.3.13 より前のバージョン

PHP 5.2 は,2011年1月にサポートが終了していますので,5.2 以前のバージョンをお使いの方は,アップグレードされることお勧めします.

■確認方法
PHP Group によると,末尾に「?-s」(ソースコードを表示させるオプション)を付与した URL を Web ブラウザで閲覧した際に,ソースコードが表示された場合は,本脆弱性の対象になるとのことです.

 (確認方法の例)
 http://example.com/index.php?-s
 ※ URL は一例です.
 ※ モジュールモードと CGI モードを併用されている可能性がある場合は PHP が動作する各ディレクトリで確認してください.

■対策方法
アップデートする
PHP Group が提供する情報をもとに.最新版へアップデートしてください.
ディストリビュータが提供している PHP をお使いの場合は,使用中のディストリビュータの情報を参照してください.

■関連文書
PHP Group.
PHP 5.4.3 and PHP 5.3.13 Released!
#61910 VU#520827 - PHP-CGI query string parameter vulnerability

Related Information PHP の脆弱性に関する注意喚起(JPCERT/CC)
PHP-CGI の query string の処理に脆弱性(JVN)
Inquiry 項目1
TEL:075-753-7490/7492(7490/7491/7492)
E-mail:i-s-officeiimc.kyoto-u.ac.jp

Back to Security Alert

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.