［米国］
PHPに2件の深刻なセキュリティ・ホール、パッチ提供開始

（2004年07月16日）

　PHPグループは7月14日、最新版の「PHP 5.0」を正式リリースしたほか、既存バージョンのためのセキュリティ修正プログラムの提供を開始した。それらは、Webサーバを乗っ取ったり、Webブラウザに不正なコードを実行させるために利用されるおそれがある、2件の深刻なセキュリティ・ホールを塞ぐためのもの。
　
　PHPは、Apache Webサーバ上で最も広く使用されているスクリプティング・モジュール。セキュリティスペースの統計によると、全Apacheサーバの半数以上でPHPは有効に設定されている。
また、影響を受けるブラウザはInternet Explorer （IE）とSafariだ。
　
　問題のセキュリティ・ホールはPHP 5.0では修正済みで、PHP 4.7.3までの既存バージョンと、正式リリース前のPHP 5.0 release candidate 3までに存在している。Linuxベンダーも、それぞれのディストリビューションに対応した修正プログラムを提供し始めている。
　
　第1の問題は、PHPのmemory_limitリクエスト・ターミネーション上の一連のエラーに関するもので、脆弱性のあるPHP実装が有効になっているサーバ上で、任意のコードを攻撃者が実行するのを許してしまうおそれがあるという。この問題は14日に公表される1週間前にベンダー各社に通知された、とドイツのITセキュリティ会社イーマターズ（e-matters GmbH）は述べている。
　
　第2の問題はstrip_tags（）関数に関するもので、マイクロソフトのInternet Explorer （IE）ブラウザとアップルコンピュータのSafariブラウザがHTMLのコーディング誤りを処理する方法のために、これらのブラウザ内で内で危険なコードを起動するのに利用される危険性がある。PHPのstrip_tags（）関数は、クロスサイト・スクリプティング攻撃を防ぐ手段として、安全でないHTMLをユーザーの入力から削除するために使用されていることが多いが、ユーザーの入力に「\0」などの文字を挿入する（たとえば「script」タグを「\0script」と擬装する）ことで、安全でないHTMLスクリプトをstrip_tags（）関数による削除に引っかからないようにすることが可能だ。大多数のブラウザ上では、こうしたタグがエラーと見なされ無視されるので影響ないが、IEとSafaliには、\0のようなエラーを取り除いてからコードをレンダリングする機能があるため、ブラウザ内で危険なコードがレンダリングされるおそれがあるという。

(TechWorld)