2004年12月20日(月) 13時15分

PHPに複数の脆弱性、「早急にアップグレードを」（CNET Japan）

　PHPの動作するサーバを攻撃のリスクにさらす重要な欠陥が発見されたことを受け、ソフトウェア開発コミュニティPHP Groupは先週、PHPの最新版4.3.10および5.0.3を発表した。

　同グループはウェブサイトで、「PHPのユーザーは全員、早急にこれらのリリースにアップグレードするように」と忠告している。

　今回修正された脆弱性のうち最も深刻なのは、保存用データの圧縮機能に関するものだと思われる。これを発見したHardened-PHPグループによると、この欠陥を悪用すると、攻撃者はPHPが動作するウェブサーバを自由にコントロールできてしまうという。

　PHPは、ウェブページに埋め込むことで動的なコンテンツ生成を可能にするサーバサイドスクリプト言語と、各コマンドに対応する処理プログラムで構成されている。Blogやコンテンツ管理アプリケーションの多くがPHPで書かれている。

　同言語は、訪問者のクリックに応じてデータベースと連携し、新たなページを作成するなど、ウェブサイトのコンテンツをコントロールする目的で利用されることが多い。通常、PHPコードは、ウェブページのなかに埋め込まれ、訪問者のページリクエストに応じて実行される。コードが実行されると、一般的にはデータベースから文章や画像、個人設定などのコンテンツが呼び出され、ウェブページに表示される。

　Hardened-PHPコミュニティがリリースした勧告によると、同グループはこの深刻な欠陥に加え、ほかにも6件の脆弱性を発見したという。同グループは、脆弱性のパッチを適用しただけでなく、新たなセキュリティ機能を搭載したセキュリティ強化版のPHPを独自に開発／リリースしている。

　これらの脆弱性と、そのほかの細かいバグを修正したPHP Groupのアップデートは、同グループのウェブサイトで公開されている。　

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ 　

関連記事
ゼンドとフォーワンファースト、PHPウェブアプリ技術者育成講座を開講 - 2004/05/27 14:29
MySQL、PHPとのライセンス問題を解決する新除外条項を発表 - 2004/03/15 12:11

　■CNET Japanニューズレター（無料）
　 毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20041220-00000006-cnet-sci