LoginSignup
1
3

More than 3 years have passed since last update.

@intrajp

PHP の脆弱性が発表されています CVE-2019-11043

Last updated at Posted at 2019-11-03

こちらのサイト を参考にしています。

CVE-2019-11043 となります。

やるべきこと:

  • 適切なテストを実行したのちに、最新の PHP バージョンに今すぐアップグレードする
  • パッチを適用する前に、認証なしにシステムの変更が行われていないかを検証する
  • 全てのシステムとサービスにおいて、最小特権の原則を適用する
  • 知られてない又は信頼されないソースによる web サイトを訪問する、あるいは、リンクをフォローする、ことを避けるようにユーザに徹底する

これら脆弱性については、NGINX の標準的な設定を使用している場合のみに影響を受けると言われているようですが、それは、以下の PHP 7.1 のお話となります。

Version 7.1.33
* Bug #78599 (env_path_info underflow in fpm_main.c can lead to RCE)

主要ディストリビュータがメインリポジトリで使っているバージョンが 7.1 となっているので、そのように言われているのだと思われますが、7.2 と 7.3 の脆弱性の方が多いので、PHP 7.2 以降を使用している場合には、以下の脆弱性についても、確認が必要です。

Version 7.2.24

Version 7.3.11

やるべきこと、というのは、どんな脆弱性が出ても変わらないと思うので、それを実践することが重要であると考えます。

1
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
3