オープンソース PHP に、「PHP 5.5.2」「PHP 5.4.18」登場 ― セキュリティと安定性を向上
オープンソースの PHP 言語は、Web の世界で最も広く採用されている技術の1つだ。先週、PHP に対して2つの重要なアップデートがリリースされた。現在利用されている PHP には、5.5、5.4、5.3 の3つの主要なブランチがあるが、今回のセキュリティアップデートはそのうちの 5.5 と 5.4 に対応したものだ。

5.4 ブランチ向けのアップデート「PHP 5.4.18」は2つはセキュリティ脆弱性に対応しているが、そのうちの1つ「CVE-2013-4113」は、XML パーサーのメモリヒープ破壊問題を修正するものだ。

だが「CVE-2013-4113」は、7月にリリースされた 5.5 ブランチ向けの「PHP 5.5.1」および 5.3 ブランチ向けの「PHP 5.3.27」で、すでに修正済みになっていたものだ。

私には、PHP がなぜすべてのブランチ向けのセキュリティアップデートを同時リリースしないのか、まったく理解ができない。あるブランチでのセキュリティアップデートをリリースすることで、別ブランチに脆弱性が存在することがアタッカーに明らかになってしまう。5.5 ブランチと 5.3 ブランチで「CVE-2013-4113」が修正されてから、5.4 ブランチは一か月近くリスクに曝されていたことになる。

OpenSSL

PHP 5.4.18 と PHP 5.5.2 は、「CVE-2013-4248」で OpenSSL の欠陥に対するセキュリティアップデートも提供している。PHP の OpenSSL モジュールは、SSL/TLS プロトコルのオープンソースの実装。CVE-2013-4248 脆弱性は、SSL に対する中間者攻撃を可能にするものだった。

Strict Sessions

PHP 5.5.2 では、「Strict Sessions」が実装されている。これは、「Session Fixation」攻撃と呼ばれるセキュリティリスクを軽減するものだ。

PHP の wiki を見ると、Strict Sessions の実装提案は、2011年にすでになされていたことがわかる。この努力は、実現までに何年もかかったようだ。

PHP 5.5 自体は、今年の6月にリリースされたばかりで、まだそれほど普及してはいない。Strict Sessions が PHP 5.4 や PHP 5.3 にも実装されるかどうか、興味深い。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。