CGI版PHPの脆弱性に注意喚起、国内でも攻撃を検出

2012/05/10

　PHP Groupは5月8日、脆弱性を修正したPHPの最新バージョン「PHP 5.4.3／5.3.13」をリリースした。PHPをCGI環境で動作させているときに生じる深刻な脆弱性を修正するもので、この脆弱性を狙う攻撃手法も公開されていることから、早期のアップデートが推奨されている。

　PHP Groupはこれに先立つ5月3日にPHP 5.4.2／5.3.12をリリースし、少なくとも8年前から存在していたCGI関連の脆弱性（CVE-2012-1823）を修正したと発表していた。しかしその直後となる5月6日、このリリースは「CVE-2012-1823で指摘されているCGI関連の脆弱性、すべてを修正するものではない」とアナウンス。これを受けて再修正版をリリースした形だ。

　この脆弱性は、Webサーバ上でPHPをCGIモードで動作させている場合に影響する。PHPのCGIラッパーに問題があり、リモートから文字列を送り込むことで、PHPスクリプトのソースコードを閲覧されたり、Webサーバの権限で任意のコードを実行される恐れがある。URLの末尾に「?-s」（ソースコードを表示させるオプション）を加えてWebブラウザで閲覧した際に、ソースコードが表示されてしまった場合、脆弱性の影響を受けるという。

　日本IBMのTokyo SOCでは、5月6日ごろから、このPHPの脆弱性を悪用する攻撃を検知しているという。

　対策は、8日にリリースされた最新バージョンにアップデートすること。また、セキュリティ専門家の徳丸浩氏は、この脆弱性の影響を受けるのはPHPをCGIとして実行しているサイトに限られ、Apacheモジュール（mod_php）やFastCGI（php-fpm）として実行しているサイトでは影響がないことから、回避策としてこれらのモジュールへの移行やphp-cgiを呼び出すラッパーの変更方法を紹介している。