- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月17日に執筆しています。
今回はPHP8.xの脆弱性情報について一覧を作成してみたいと思います。
PHPとはWebサイトやアプリを開発する際に広く採用されているプログラミング言語であり、Webサーバー上で動いてプログラムを実行するサーバーサイドスクリプト言語に分類されます。
このPHPは、WordPressを始めとする主要なCMS(コンテンツ・マネジメント・システム)の多くがPHPで開発されていることから、Webサイトを運用する皆さんにとっても重要な言語と言えるでしょう。
安全で円滑なWebサイトの運用のためには、PHPを最新バージョンへとアップデートする必要があります。
一方で、PHPのバージョンごとにどのような脆弱性があるかについてまとめてある日本語サイトが見つからない状況です。
この記事ではPHP8系統のマイナーバージョンごとに脆弱性情報をまとめることで、企業のWeb担当者の皆様が、ご使用になられているPHP8系統の脆弱性を簡単に把握できるようにしたいと思います。
少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。
最新のPHPのバージョンは8.3系統です。
2024年9月現在、PHPの公式がセキュリティサポートをしているバージョンは、8.1, 8.2, 8.3 の3系統のみです。
ご使用になられているPHPのバージョンが8.0以下の場合には、緊急レベルの脆弱性が存在する可能性があります。
PHP8.1, 8.2, 8.3の3系統であっても、パッチバージョンが古い場合、脆弱性がある可能性があります。
本記事の脆弱性情報は、深刻度が重要(7.0~8.9)及び緊急(9.0~10.0)のものを掲載しています。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3 8.8 (重要) |
PHP 8.3.0から8.3.7 | PHP8.3.8 | |
CVSS v3 9.8 (緊急) |
PHP 8.3.0から8.3.7 | PHP8.3.8 | |
CVSS v3 9.4(緊急) |
PHP8.3.0から8.3.4 | PHP8.3.5 |
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3 8.8 (重要) |
PHP8.2.0から8.2.19 | PHP8.2.20 | |
CVSS v3 9.8 (緊急) |
PHP8.2.0から8.2.19 | PHP8.2.20 | |
CVSS v3 9.4(緊急) |
PHP8.2.0から8.2.17 | PHP8.2.18 | |
CVSS v3 9.8 (緊急) |
PHP8.2.0から8.2.8 | PHP8.2.9 | |
CVSS v3 7.5 (重要) |
PHP8.2.0から8.2.8 | PHP8.2.9 | |
CVSS v3 7.5 (重要) |
PHP8.2.0から8.2.2 | PHP8.2.3 | |
CVSS v3 8.1 (重要) |
PHP8.2.0から8.2.2 | PHP8.2.3 |
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3 8.8 (重要) |
PHP8.1.0から8.2.17 | PHP8.1.29 | |
CVSS v3 9.8 (緊急) |
PHP5.0.0から8.1.28 | PHP8.1.29 | |
CVSS v3 9.4(緊急) |
PHP8.1.0から8.1.28 | PHP8.1.28 | |
CVSS v3 9.8 (緊急) |
PHP8.1.0から8.1.21 | PHP8.1.22 | |
CVSS v3 7.5 (重要) |
PHP8.1.0から8.1.21 | PHP8.1.22 | |
CVSS v3 7.5 (重要) |
PHP8.1.0から8.1.15 | PHP8.1.16 | |
CVSS v3 8.1 (重要) |
PHP8.1.0から8.1.15 | PHP8.1.16 | |
CVSS v3 9.8 (緊急) |
PHP8.1.0から8.1.11 | PHP8.1.12 | |
CVSS v3 7.1 (重要) |
PHP8.1.0から8.1.11 | PHP8.1.12 | |
CVSS v3 9.8 (緊急) |
PHP8.1.0から8.1.7 | PHP8.1.8 | |
CVSS v3 8.8 (重要) |
PHP8.1.0から8.1.6 | PHP8.1.7 | |
CVSS v3 8.1 (重要) |
PHP8.1.0から8.1.6 | PHP8.1.7 | |
CVSS v3 9.8 (緊急) |
PHP8.1.0から8.1.2 | PHP8.1.3 |
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3 9.8 (緊急) |
PHP8.0系統の全てのバージョン | PHP8.1.29 PHP8.0系統では未対応 |
|
CVSS v3 9.8 (緊急) |
PHP8.0.0から8.0.29 | PHP8.0.30 | |
CVSS v3 7.5 (重要) |
PHP8.0.0から8.0.29 | PHP8.0.30 | |
CVSS v3 7.5 (重要) |
PHP8.0.0から8.0.27 | PHP8.0.28 | |
CVSS v3 8.1 (重要) |
PHP8.0.0から8.0.27 | PHP8.0.28 | |
CVSS v3 9.8 (緊急) |
PHP8.0.0から8.0.24 | PHP8.0.25 | |
CVSS v3 7.1 (重要) |
PHP8.0.0から8.0.24 | PHP8.0.25 | |
CVSS v3 8.8 (重要) |
PHP8.0.0から8.0.19 | PHP8.0.20 | |
CVSS v3 8.1 (重要) |
PHP8.0.0から8.0.19 | PHP8.0.20 | |
CVSS v3 9.8 (緊急) |
PHP8.0.0から8.0.15 | PHP8.0.16 | |
CVSS v3 7.0 (重要) |
PHP8.0.0から8.0.11 | PHP8.0.12 |
・脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
・深刻度については、共通脆弱性評価システムCVSS v3に基づいています。
前述のように、本記事では、CVSS v3にて重要(7.0~8.9)及び緊急(9.0~10.0)に区分されるもののみを掲載しており、警告(4.0~6.9)ないし注意(0.1~3.9)の情報については、JVN iPediaなどでご確認ください。
・深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulunerability Database(以下「NVD」)に準拠しています。
・原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
・本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
・本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
PHPのバージョンアップは複雑な作業工程を伴うため、安全に行うためには専門的な知識が必要です。
また、Web制作会社はいわゆるWebアプリケーション側(WebサイトやCMS等)を専門としていますので、PHPを含めたミドルウェアについては対応されていない会社も多いと思います。
WebサイトおよびWebシステムにおけるPHPバージョンアップに対応できるWeb制作会社をお探しの場合には、お気軽に当社にお問い合わせください。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
taneCREATIVEに所属する謎のトラ。