PHPのセキュリティアップデート(CVE-2012-1823)の各レンタルサーバでの対応状況

このたび、PHPのかなり重度のセキュリティアップデート(CVE-2012-1823)が実施されました。

• PHP 5.4.3
• PHP 5.3.13

が正式な対応バージョンになります。

その前に対応バージョンが提供されましたが、不完全とのことで、必ず、最新版を利用するか、対応パッチをあてたバージョンを利用しましょう。

PHP Group によると、末尾に ?-s ( ソースコードを表示させるオプション ) を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示されてしまう場合は、本問題の対象なのだそうです。 DoS攻撃の対象にされることもありうるそうで、十分注意したいところです。
例）
http://www.example.com/index.php?-s

( 参照 : http://www.php.net/archive/2012.php#id2012-05-03-1 )

また、

• Apache + モジュール版(mod_php)
• nginx + PHP-FPM 版

の組み合わせでは問題は発生しないので、もし、上記の組み合わせで利用されいる方は安心です。

そうでない場合は、至急、最新のPHPへ切り替えてもらう必要があるでしょうね。
また、VPSご利用の方は、自分でアップでグレードする必要がありますから要注意です。