ロリポップ!レンタルサーバー
ご利用のブラウザ(Internet Explorer)のサポートは2021年8月31日で終了します。
早めのブラウザの切り替えをお願いいたします。詳しくはこちら

【重要】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして

2012/05/04

平素はロリポップ!をご利用いただき、誠にありがとうございます。

CGI版のPHP5.2及びPHP5.3におきまして、PHPページを
表示する際のGETパラメーターに、「-(ハイフン)」で始まり
加えて「s(小文字のエス)」が付加した際、PHPのソースコードが
表示されるという脆弱性の問題が生じております。

▼【php.net】脆弱性に対するバージョンアップ
 [英文](PHP 5.3.12 and PHP 5.4.2 Released!)
 http://www.php.net/archive/2012.php#id2012-05-03-1

ロリポップ!では、緊急対応といたしまして、GETパラメーターに
「-(ハイフン)」で始まり、加えて「s(小文字のエス)」が
含まれている場合、PHPプログラムの処理を行わず403エラーを
返すように対応をいたしました。

【脆弱性URL例】
http://example.lolipop.jp/?-s
http://example.lolipop.jp/example.php?ex=1234&-ism=0000
などのURLでアクセスした場合

【脆弱性対応前】
脆弱性によりPHPソースコードがブラウザ上に表示される

【脆弱性対応後】
GETパラメーターが「-(ハイフン)」で始まり、
加えて「s(小文字のエス)」が含まれる場合は、
403エラーページを表示することで、お客様のPHPソースコードが
閲覧されることを防いでおります。

※.htaccessにより.html等の拡張子でもPHPが動くように
 設定されている場合も同様に403エラーとなります。

重要度の高い脆弱性の対応となりますため
緊急にて対応をさせていただきました。

本脆弱性に対して今後の対応で提供しておりますPHPの
バージョンアップ等を行う必要が発生する場合には
別途ご連絡を差し上げます。

何卒ご理解の程お願い申し上げます。
今後とも、ロリポップ!をよろしくお願いいたします。


[2012/05/07 12:15 更新]

先日のPHPに関する脆弱性に加え、新たなパターンの脆弱性が確認されたため、
以下ご案内させていただきます。

CGI版のPHP5.2及びPHP5.3におきまして、PHPページを
表示する際のGETパラメーターに、「-(ハイフン)」で始まり
加えて「d(小文字のディー)」が付加された際、PHP.iniの設定が
上書きされる脆弱性の問題が生じております。

▼【php.net】脆弱性に対するバージョンアップ
 [英文](PHP 5.3.12 and 5.4.2 and the CGI flaw (CVE-2012-1823))
 http://www.php.net/archive/2012.php#id2012-05-06-1

ロリポップ!では、緊急対応といたしまして、GETパラメーターに
「-(ハイフン)」で始まり、加えて「d(小文字のディー)」が
含まれている場合、PHPプログラムの処理を行わず403エラーを
返すように対応をいたしました。

【脆弱性対応前】
脆弱性によりPHP.iniの設定が上書きされる

【脆弱性対応後】
GETパラメーターが「-(ハイフン)」で始まり、
加えて「d(小文字のディー)」が含まれる場合は、
403エラーページを表示することで、お客様のPHP.iniの設定が
上書きされることを防いでおります。

※.htaccessにより.html等の拡張子でもPHPが動くように
 設定されている場合も同様に403エラーとなります。

重要度の高い脆弱性の対応となりますため
緊急にて対応をさせていただきました。

本脆弱性に対して今後の対応で提供しておりますPHPの
バージョンアップ等を行う必要が発生する場合には
別途ご連絡を差し上げます。

何卒ご理解の程お願い申し上げます。
今後とも、ロリポップ!をよろしくお願いいたします。

[2012/05/08 11:13 更新]

先日のPHPに関する脆弱性に加え、新たなパターンの脆弱性が
確認されたため、以下ご案内させていただきます。

ロリポップ!で提供をしておりますPHPのCGI版にて、
PHPページを表示する際のGETパラメーターに
「+-(プラスハイフン)」で始まり、
加えて「s(小文字のエス)」または「d(小文字のディー)」が
付加した時に、PHPのソースコードが表示されるもしくは、
PHP.iniの設定が上書きされるという脆弱性の問題が生じておりました。

ロリポップ!では、緊急対応といたしまして、GETパラメーターに
「+-(プラスハイフン)」で始まり、加えて「s(小文字のエス)」
または「d(小文字のディー)」が含まれている場合、
PHPプログラムの処理を行わず403エラーを返すように対応をいたしました。

【脆弱性対応前】

脆弱性によりPHPソースコードがブラウザ上に表示される
またはPHP.iniの設定が上書きされる

【脆弱性対応後】

GETパラメーターが「+-(プラスハイフン)」で始まり、
加えて「s(小文字のエス)」または「d(小文字のディー)」が
含まれる場合は、403エラーページを表示することで、
お客様のPHPソースコードがブラウザ上に表示されるまたは
PHP.iniが上書きされることを防いでおります。

 ※.htaccessにより.html等の拡張子でもPHPが動くように
  設定されている場合も同様に403エラーとなります。

重要度の高い脆弱性の対応となりますため、
緊急にて対応をさせていただきました。

本脆弱性に対して今後の対応で提供しておりますPHPの
バージョンアップ等を行う必要が発生する場合には、
別途ご案内を差し上げます。

何卒ご理解の程お願い申し上げます。
今後とも、ロリポップ!をよろしくお願いいたします。

このエントリーをはてなブックマークに追加

カテゴリー: 新着情報

お知らせのトップへ