PHP-CGI 引数インジェクションの脆弱性チェック機能が新たに追加されました。
今回のアップデートで、PHPに影響を与える重大な脆弱性 PHP の CGI 引数インジェクション
(CVE-2024-4577)のチェック機能が追加されました。
「CVE-2024-4577」とは、CGI モードで動作している PHP バージョン 8.1. (8.1.29 以前)、8.2. (8.2.20 以前)、8.3. (8.3.8 以前) に影響し、攻撃者に PHP コードインジェクションを実行させ、影響を受けるマシンの侵害を引き起こす脆弱性です。なお、ロケールが中国語(繁体字・簡体字)または日本語に設定されている場合、 Windows上のあらゆるバージョンのXAMPPがデフォルトで脆弱であるとされています。
“この脆弱性について、多くの研究者の間ではXAMPPがデフォルトで影響を受けると指摘されていますが、弊社が日本のWindowsマシンでXAMPPを検証したところ、XAMPPサーバーのバージョンではPHP-CGIモードがデフォルトで有効になっておらず、サーバー設定ファイルを編集して「有効」にした後にのみエクスプロイトが機能することが明らかになりました。しかし、深刻な脆弱性であることに変わりはないため、現在CGIモードを使用していない場合や、エクスプロイトが動作するための条件を満たしていなかったとしても、PHPバージョンを最新版にアップグレードすることを強く推奨します。”
(CVO 兼アプリケーション セキュリティエキスパート フェリペダラゴン氏)
用語一覧
● CVE-2024-4577:「CGI」モジュールに判明した脆弱性で、Windows OSにインストールされているすべてのバージョンのPHPに影響を及ぼすCGI引数インジェクションの脆弱性
● エクスプロイト (Exploit):OSやソフトウェアなどの脆弱性(セキュリティ上の欠陥)を突いて不正な動作を行うプログラムやこういったプログラムを利用した攻撃
● XAMPP:ウェブサイトやウェブアプリケーションを開発・運用するための環境を簡単に構築できるソフトウェア