Japan Vulnerability Notes iPedia |
脆弱性対策情報ポータルサイトJVN (Japan Vulnerability Notes)に掲載された記事「JVNDB-2014-001422 - PHP の ext/gd/gd.c における重要な情報を取得される脆弱性」が、PHPに重要なデータが取得されるセキュリティ脆弱性があることを伝えた。PHP 5.5.9未満のすべての5.5系が影響を受けるとされている。
この脆弱性はext/gd/gd.cにおけるデータチェックの不具合に原因がある。数値ではなく文字列や配列などのデータが渡された場合に想定していないデータが取得される危険性がある。本脆弱性はCVE-2013-7226とは異なっており、該当するバージョンを使用している場合には修正が実施されたバージョンへのアップグレードが推奨される。
本セキュリティ脆弱性(ヒープオーバーフロー)の詳細は「Sec Bug #66356 Heap Overflow Vulnerability in imagecrop()」などにまとまっているほか、どのように修正されたかは「Fixed bug #66356 (Heap Overflow Vulnerability in imagecrop())」などに掲載されている。