PHP利用者は見逃し厳禁 TLS通信でサービス停止を招くHigh脆弱性を修正:即更新を推奨
PHPに高危険度の脆弱性が見つかり、修正版が公開された。問題はTLS接続時のエラー処理にあり、特定の環境ではHTTPS通信の失敗をきっかけにサービス停止に発展する恐れがあるという。
The PHP Groupは、PHPに影響する複数の脆弱(ぜいじゃく)性を修正した。特に「CVE-2026-12184」は、TLS接続時のエラー処理の不備により、PHP-FPM環境でDoS(Denial of Service)攻撃を引き起こす恐れがある高危険度の脆弱性だ。
併せて、暗号化ライブラリ「OpenSSL」拡張に存在するメモリ破損の問題「CVE-2026-14355」も修正しており、対象ユーザーに修正版への更新を呼び掛けている。
TLS接続時のエラー処理の不備でPHP-FPMが停止する恐れ
CVE-2026-12184は、GitHub Security Advisory「GHSA-mhmq-mmqj-2v39」で公表された脆弱性だ。影響を受けるのはPHP 8.3.32未満、8.4.21未満、8.5.6未満で、修正版はそれぞれ8.3.32、8.4.21、8.5.6となる。共通脆弱性評価システム(CVSS)v4.0のスコアは8.2で、深刻度は「High」と評価されている。機密性や完全性への影響は確認されていない一方、可用性への影響は高い。
原因は、TLS接続時のエラー処理にある。TLS暗号化の初期化に失敗すると内部ストリームは破棄されるが、その後の処理で状態確認が適切に実行されないため、不正なメモリアクセスが発生する恐れがある。
この問題は、証明書の有効期限切れや接続先の証明書検証失敗などによってTLS接続が確立できなかったときに発生する可能性がある。攻撃者が特殊な入力を送り込むタイプの脆弱性ではなく、TLS接続失敗時の処理不備が原因となる点が特徴だ。
特に影響が大きいのはPHP-FPM環境だ。障害が発生するとFPMプロセス全体が停止し、配下のワーカープロセスも同時に利用できなくなる。このため、外部HTTPSサービスと連携するPHPアプリケーションでは、TLS接続失敗を契機としてサービス提供に支障が生じる恐れがある。現時点で回避策は公表されておらず、修正版への更新が唯一の対策となる。
OpenSSL拡張でもメモリ破損の問題を修正
同時に公開されたCVE-2026-14355は、OpenSSL拡張のopenssl_encrypt関数でAES-WRAP-PADアルゴリズムを利用した場合に発生する脆弱性だ。影響を受けるのはPHP 8.2.32未満、8.3.32未満、8.4.23未満、8.5.8未満で、修正版は8.2.32、8.3.32、8.4.23、8.5.8として公開された。CVSS v3.1のスコアは4.8で、深刻度は「Medium」と評価されている。
原因は、暗号化後のデータサイズを正しく見積もらずにメモリ領域を確保していたことにある。その結果、OpenSSLが確保済み領域を超えてデータを書き込み、メモリ破損が発生する。障害はその後のメモリ管理処理で検出され、アプリケーション停止につながる可能性がある。
AES-WRAP-PADはWebアプリケーションで広く利用されるアルゴリズムではないため、影響を受ける環境は限定的とみられる。一方、該当する実装を採用している場合は、アプリケーション停止やDoSにつながる恐れがあるため注意が必要だ。
PHP開発元は両脆弱性の修正版を公開している。特に外部HTTPS通信をするPHP-FPM環境では、CVE-2026-12184の影響が大きいことから優先的な更新が求められる。CVE-2026-14355についても、該当する実装を利用している環境では、併せて修正版へのアップデートを進めたい。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
成功率は約99%。Linuxカーネルで見つかった新たな権限昇格の脆弱性は、極めて短い競合タイミングにもかかわらず、高い確率でroot権限を奪えることが実証された。さらに、この脆弱性はAndroidにも影響する可能性があるという。
KDDIメール漏えいの全容判明 ゼロデイ悪用で761万人分パスワードが流出
6月に公表されたKDDIのISP事業者向けメール基盤への不正アクセスで、新たな調査結果が明らかになった。漏えいしたのはメールアドレス1223万3087人分だ。このうち761万6173人分ではパスワードも漏えいも確認されたという。同社の再発防止策とは。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。