2013/12/20 (金) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、スクリプト言語である 「PHP」の一部のバージョン、リリースにおきまして、リモートから任意のコードが実行される可能性のある脆弱性が発見されましたため、問題の概要と弊社における対応について下記の通りご案内いたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。
問題の概要
RedHat Enterprise Linux もしくは CentOS に含まれる php パッケージをご利用のサーバにおいて、遠隔の第三者によって任意のコードを実行される可能性がございます。
この脆弱性には、CVE 識別番号として CVE-2013-6420 が割り当てられています。
CVE-2013-6420
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6420
詳細に関しましては、Japan Vulnerability Notes 等の情報もご参照ください。
PHP の ext/openssl/openssl.c 内の asn1_time_to_time_t 関数における任意のコードを実行される脆弱性
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-005585.html
影響を受けるOSとサーバ
本脆弱性は、PHP をインストールしているサーバすべてに影響するわけではございません
本脆弱性の影響を受けるパッケージ
Red Hat Enterprise Linux 4 / CentOS 4 のサーバ
php-4.3.9-3.37 未満のバージョンのパッケージ (*1)
Red Hat Enterprise Linux 5 / CentOS 5 のサーバ (*2)
php-5.1.6-43.el5_10 未満のバージョンのパッケージ
Red Hat Enterprise Linux 6 / CentOS 6 のサーバ
php-5.3.3-27.el6_5 未満のバージョンのパッケージ
Microsoft Windows のサーバ
弊社サービス環境におきましては本脆弱性の影響はございません。
*1: Red Hat Enterprise Linux 4 をご利用で、ELS(有償延長サポート)を購入さ れた方にのみ、アップデートパッケージが提供されております。 CentOS 4 は、アップデートパッケージが提供されておりません。
*2: php53 パッケージにつきましてはphp53-5.3.3-22.el5_10 未満のパッケージが 本脆弱性の影響を受けます。
※こちらについては弊社標準構成ではご提供しておりませんので、弊社では作業を実施いたしません。
対応策
OS のディストリビュータである Red Hat 社、ならびに CentOS Project より、本脆弱性を修正したパッケージが、CentOS 4を除き、提供されておりますので、php パッケージの更新をお勧めいたします。
※本脆弱性の影響があるかどうかを判別する方法
サーバに SSH でログインし、以下のコマンドを入力してください。
● rpm -qa | egrep ‘^php’
特に何も表示されない場合には、php パッケージがインストールされておりま せんので、脆弱性の影響はございません。php から始まる文字列が表示された場 合、バージョン番号をご確認いただき、脆弱性の影響を受けるリリースパッケー ジかどうかご確認ください。