検索
ニュース

PHP利用者は見逃し厳禁 TLS通信でサービス停止を招くHigh脆弱性を修正即更新を推奨

PHPに高危険度の脆弱性が見つかり、修正版が公開された。問題はTLS接続時のエラー処理にあり、特定の環境ではHTTPS通信の失敗をきっかけにサービス停止に発展する恐れがあるという。

Share
Tweet
LINE
Hatena

 The PHP Groupは、PHPに影響する複数の脆弱(ぜいじゃく)性を修正した。特に「CVE-2026-12184」は、TLS接続時のエラー処理の不備により、PHP-FPM環境でDoS(Denial of Service)攻撃を引き起こす恐れがある高危険度の脆弱性だ。

 併せて、暗号化ライブラリ「OpenSSL」拡張に存在するメモリ破損の問題「CVE-2026-14355」も修正しており、対象ユーザーに修正版への更新を呼び掛けている。

TLS接続時のエラー処理の不備でPHP-FPMが停止する恐れ

 CVE-2026-12184は、GitHub Security Advisory「GHSA-mhmq-mmqj-2v39」で公表された脆弱性だ。影響を受けるのはPHP 8.3.32未満、8.4.21未満、8.5.6未満で、修正版はそれぞれ8.3.32、8.4.21、8.5.6となる。共通脆弱性評価システム(CVSS)v4.0のスコアは8.2で、深刻度は「High」と評価されている。機密性や完全性への影響は確認されていない一方、可用性への影響は高い。

 原因は、TLS接続時のエラー処理にある。TLS暗号化の初期化に失敗すると内部ストリームは破棄されるが、その後の処理で状態確認が適切に実行されないため、不正なメモリアクセスが発生する恐れがある。

 この問題は、証明書の有効期限切れや接続先の証明書検証失敗などによってTLS接続が確立できなかったときに発生する可能性がある。攻撃者が特殊な入力を送り込むタイプの脆弱性ではなく、TLS接続失敗時の処理不備が原因となる点が特徴だ。

 特に影響が大きいのはPHP-FPM環境だ。障害が発生するとFPMプロセス全体が停止し、配下のワーカープロセスも同時に利用できなくなる。このため、外部HTTPSサービスと連携するPHPアプリケーションでは、TLS接続失敗を契機としてサービス提供に支障が生じる恐れがある。現時点で回避策は公表されておらず、修正版への更新が唯一の対策となる。

OpenSSL拡張でもメモリ破損の問題を修正

 同時に公開されたCVE-2026-14355は、OpenSSL拡張のopenssl_encrypt関数でAES-WRAP-PADアルゴリズムを利用した場合に発生する脆弱性だ。影響を受けるのはPHP 8.2.32未満、8.3.32未満、8.4.23未満、8.5.8未満で、修正版は8.2.32、8.3.32、8.4.23、8.5.8として公開された。CVSS v3.1のスコアは4.8で、深刻度は「Medium」と評価されている。

 原因は、暗号化後のデータサイズを正しく見積もらずにメモリ領域を確保していたことにある。その結果、OpenSSLが確保済み領域を超えてデータを書き込み、メモリ破損が発生する。障害はその後のメモリ管理処理で検出され、アプリケーション停止につながる可能性がある。

 AES-WRAP-PADはWebアプリケーションで広く利用されるアルゴリズムではないため、影響を受ける環境は限定的とみられる。一方、該当する実装を採用している場合は、アプリケーション停止やDoSにつながる恐れがあるため注意が必要だ。

 PHP開発元は両脆弱性の修正版を公開している。特に外部HTTPS通信をするPHP-FPM環境では、CVE-2026-12184の影響が大きいことから優先的な更新が求められる。CVE-2026-14355についても、該当する実装を利用している環境では、併せて修正版へのアップデートを進めたい。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る