こちらのサイト を参考にしています。
CVE-2019-11043 となります。
やるべきこと:
- 適切なテストを実行したのちに、最新の PHP バージョンに今すぐアップグレードする
- パッチを適用する前に、認証なしにシステムの変更が行われていないかを検証する
- 全てのシステムとサービスにおいて、最小特権の原則を適用する
- 知られてない又は信頼されないソースによる web サイトを訪問する、あるいは、リンクをフォローする、ことを避けるようにユーザに徹底する
これら脆弱性については、NGINX の標準的な設定を使用している場合のみに影響を受けると言われているようですが、それは、以下の PHP 7.1 のお話となります。
Version 7.1.33
* Bug #78599 (env_path_info underflow in fpm_main.c can lead to RCE)
主要ディストリビュータがメインリポジトリで使っているバージョンが 7.1 となっているので、そのように言われているのだと思われますが、7.2 と 7.3 の脆弱性の方が多いので、PHP 7.2 以降を使用している場合には、以下の脆弱性についても、確認が必要です。
Version 7.2.24
- Bug #78535 (auto_detect_line_endings value not parsed as bool)
- Bug #78620 (Out of memory error)
- Bug #78442 ('Illegal component' on exif_read_data since PHP7)
- Bug #78599 (env_path_info underflow in fpm_main.c can lead to RCE)
- Bug #78579 (mb_decode_numericentity: args number inconsistency)
- Bug #78609 (mb_check_encoding()
- Bug #76809 (SSL settings aren't respected when persistent connections are used)
- Bug #78623 (Regression caused by "SP call yields additional empty result set")
- Bug #78624 (session_gc return value for user defined session handlers)
- Bug #76342 (file_get_contents waits twice specified timeout)
- Bug #78612 (strtr leaks memory when integer keys are used and the subject string shorter)
- Bug #76859 (stream_get_line skips data if used with data-generating filter)
- Bug #78641 (addGlob can modify given remove_path value)
Version 7.3.11
- Bug #78535 (auto_detect_line_endings value not parsed as bool)
- Bug #78620 (Out of memory error)
- Bug #78442 ('Illegal component' on exif_read_data since PHP7)
- Bug #78599 (env_path_info underflow in fpm_main.c can lead to RCE)
- Bug #78413 (request_terminate_timeout does not take effect after fastcgi_finish_request)
- Bug #78633 (Heap buffer overflow (read)
- Bug #78579 (mb_decode_numericentity: args number inconsistency)
- Bug #78609 (mb_check_encoding()
- Bug #76809 (SSL settings aren't respected when persistent connections are used)
- Bug #78525 (Memory leak in pdo when reusing native prepared statements)
- Bug #78272 (calling preg_match()
- Bug #78623 (Regression caused by "SP call yields additional empty result set")
- Bug #78624 (session_gc return value for user defined session handlers)
- Bug #76342 (file_get_contents waits twice specified timeout)
- Bug #78612 (strtr leaks memory when integer keys are used and the subject string shorter)
- Bug #76859 (stream_get_line skips data if used with data-generating filter)
- Bug #78641 (addGlob can modify given remove_path value)
やるべきこと、というのは、どんな脆弱性が出ても変わらないと思うので、それを実践することが重要であると考えます。