h-heyerlein-ndja2LJ4IcM-unsplash

The 6th Annual China PHP Conference

The 6th Annual China PHP Conference – May 19 to 20, Shanghai

We will be hosting a 2-day event filled with high quality, technical sessions about PHP Core, PHP High Performance, PHP Engineering, AI and Blockchain more.

Don’t miss out on 2-great days sessions, delicious food, fantastic shows and countless networking opportunities to engage with speakers and delegates.

Go to www.phpconchina.com for tickets and more information.

h-heyerlein-ndja2LJ4IcM-unsplash

PHP 7.1.16 Released

The PHP development team announces the immediate availability of PHP 7.1.16. This is a security fix release, containing one security fix and many bug fixes. All PHP 7.1 users are encouraged to upgrade to this version.

For source downloads of PHP 7.1.16 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

imgix-klWUhr-wPJ8-unsplash

JVN: Meltdown 向けパッチが適用された Windows 7 x64 および Windows Server 2008 R2 x64 でカーネルメモリが適切に保護されない脆弱性

Microsoft が提供した Meltdown 向け<a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002">パッチ</a>が Windows 7 x64 および Windows Server 2008 R2 x64 の製品にインストールされた場合、非特権プロセスから Windows カーネルの全てのメモリ空間を読み出されたり、書き込まれたりする可能性があります。続きを読む
h-heyerlein-ndja2LJ4IcM-unsplash

PHP 5.6.35 Released

The PHP development team announces the immediate availability of PHP 5.6.35. This is a security release. One security bug was fixed in this release. All PHP 5.6 users are encouraged to upgrade to this version.

For source downloads of PHP 5.6.35 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

h-heyerlein-ndja2LJ4IcM-unsplash

PHP 7.0.29 Released

The PHP development team announces the immediate availability of PHP 7.0.29. This is a security release. One security bug was fixed in this release. All PHP 7.0 users are encouraged to upgrade to this version.

For source downloads of PHP 7.0.29 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

h-heyerlein-ndja2LJ4IcM-unsplash

PHP 7.2.4 Released

The PHP development team announces the immediate availability of PHP 7.2.4. This is a security release which also contains several minor bug fixes.

All PHP 7.2 users are encouraged to upgrade to this version.

For source downloads of PHP 7.2.4 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

adi-goldstein-EUsVwEOsblE-unsplash

Ruby 2.5.1 リリース

Ruby 2.5.1 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

その他いくつかの不具合修正も含まれます。詳細は commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.1.tar.gz

    SIZE:   15923244 bytes
    SHA1:   93fafd57a724974b951957c522cdc4478a6bdc2e
    SHA256: dac81822325b79c3ba9532b048c2123357d3310b2b40024202f360251d9829b1
    SHA512: 67badcd96fd3808cafd6bc86c970cd83aee7e5ec682f34e7353663d96211a6af314a4c818e537ec8ca51fbc0737aac4e28e0ebacf1a4d1e13db558b623a0f6b1
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.1.zip

    SIZE:   19525307 bytes
    SHA1:   4fe511496f1eea0c3c1ac0c5f75ef11168ad1695
    SHA256: 5d8e490896c8353aa574be56ca9aa52c250390e76e36cd23df450c0434ada4d4
    SHA512: 490a52081e740b37f06215740734e9a6598ee9b492995b3161d720b5b05beadb4570aa526b3df01f686881b1e259aa7d4a59c1f398989dc2d5f8250342d986f7
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.1.tar.bz2

    SIZE:   14000644 bytes
    SHA1:   251fdb5ac10783b036fe923aa7986be582062361
    SHA256: 0f5d20f012baca865381a055e73f22db814615fee3c68083182cb78a4b3b30cb
    SHA512: 82e799ecf7257a9f5fe8691c50a478b0f91bd4bdca50341c839634b0da5cd76c5556965cb9437264b66438434c94210c949fe9dab88cbc5b3b7fa34b5382659b
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.1.tar.xz

    SIZE:   11348108 bytes
    SHA1:   0fb5da56f9e5fca45e36aa24ba842d935d1691c2
    SHA256: 886ac5eed41e3b5fc699be837b0087a6a5a3d10f464087560d2d21b3e71b754d
    SHA512: 31bacf58469953282cd5d8b51862dcf4b84dedb927c1871bc3fca32fc157fe49187631575a70838705fe246f4555647577a7ecc26894445a7d64de5503dc11b4
    

リリースコメント

このリリースにあたり、多くのコミッター、開発者、バグ報告をしてくれたユーザーの皆様に感謝を申し上げます。

Posted by naruse on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

Ruby 2.4.4 リリース

Ruby 2.4.4 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

その他いくつかの不具合修正も含まれます。詳細は commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.4.tar.bz2

    SIZE:   12659705 bytes
    SHA1:   1cc548ba3eb821e29ab92ac13e1d5c7bf23b1526
    SHA256: 45a8de577471b90dc4838c5ef26aeb253a56002896189055a44dc680644243f1
    SHA512: ae632852a5f413561d8134e9ef3bb82adb37317696dd293ef92cb76709ecd45718f14116ecce35b12f1c2dd53ccae8dabc7a924a270072b697512d11f4922347
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.4.tar.gz

    SIZE:   14225338 bytes
    SHA1:   ec82b0d53bd0adad9b19e6b45e44d54e9ec3f10c
    SHA256: 254f1c1a79e4cc814d1e7320bc5bdd995dc57e08727d30a767664619a9c8ae5a
    SHA512: fa1f6d3a4856046d4f9c3e652be225ae67f3e9ff0d117b6ed327d58cfb717fb9b1ce81d06a3302e486e7da0b5f67b16341666ceb02a554a428d221d008263ed8
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.4.tar.xz

    SIZE:   10049304 bytes
    SHA1:   0eac83a0818e1d6bc661abd9f90457cff8868cff
    SHA256: 1d0034071d675193ca769f64c91827e5f54cb3a7962316a41d5217c7bc6949f0
    SHA512: 4dc112a149273d4221484ccbf1260c6c5fcad7e0a6e4bc91e4ef69cbc093d3191f7abd71420f80d680f8ea5d111e6803ba2af32166aa501913639e6d5696fde0
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.4.zip

    SIZE:   15685143 bytes
    SHA1:   4ac11e6915c168a235b854014aa2a0d540cabd68
    SHA256: d0ca0561be0045f2e094f2ba94f1585e66e9c1e91fe6de3f3035f4d67dce7650
    SHA512: 79b655fda332d44097e108a76c4ff74f16930cd3ef3951c7988df325781aa0b3e724697107d964735f31a2457a835f08fa72c4eadd5ef7d3ccc1e6c9185f37e3
    

リリースコメント

このリリースにあたり、多くのコミッター、開発者、バグ報告をしてくれたユーザーの皆様に感謝を申し上げます。

Posted by nagachika on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

Ruby 2.2.10 リリース

Ruby 2.2.10 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。

Ruby 2.2 系列は、セキュリティメンテナンスフェーズにあり、重大なセキュリティ上の問題への対応のみが行われています。 かねてからの予告通り、今月末をもって、2.2 系列のセキュリティメンテナンスならびに公式サポートは終了する予定です。 従って、今回のリリースで致命的な新規バグが混入していない限り、以後、2.2 系列からの新たな公式リリースは行われません。 現在、2.2 系列を利用しているユーザーの皆さんは、なるべく早く、2.5 系列等のより新しいバージョン系列の Ruby への移行を行ってください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.10.tar.bz2

    SIZE:   13365461 bytes
    SHA1:   72ee1dcfd96199d2c3092b77db7a7f439c0abd08
    SHA256: a54204d2728283c9eff0cf81d654f245fa5b3447d0824f1a6bc3b2c5c827381e
    SHA512: f8ec96c2a5f4ecf22052ee0b1029989ded52d7bf5d41be24fef67e732e76f72119302240bca08f0547510a9cd29e941a32e263cad9c8a2bf80023d6bc97b2373
    
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.10.tar.gz

    SIZE:   16694179 bytes
    SHA1:   b0207c861f3fa41cbe4909ecb89bd2fcac81fe7c
    SHA256: cd51019eb9d9c786d6cb178c37f6812d8a41d6914a1edaf0050c051c75d7c358
    SHA512: 051124922240d2e20e74903b9c629fa897279072d2aa9b0a4e3a02331b843fa9c97c16e7073d6faec1b9f2024c3a7e36346014c30eee256f0715c5de226b5db8
    
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.10.tar.xz

    SIZE:   10508612 bytes
    SHA1:   c46737f81df819c3d7423df5c644431b3fcb8fee
    SHA256: bf77bcb7e6666ccae8d0882ea12b05f382f963f0a9a5285a328760c06a9ab650
    SHA512: 1f35458f2b1c334e64aecf42cd1df3b223fef119b6ad23394285d9f2e72da26b3ba5418950694c4a8c0b4afc43672f78459f2f7281a595cff0967eb239662ae4
    
  • https://cache.ruby-lang.org/pub/ruby/2.2/ruby-2.2.10.zip

    SIZE:   18540424 bytes
    SHA1:   0f4b9c6695d000cb456fe8b89f8bf6d42fb95069
    SHA256: 6933eb989afb1b916c438d8eeecff1cfb0a6569c07e7190beca56b10b822207a
    SHA512: dfaa9a76170b0eed9cb2bf41178f2193dd3428492413b1616aaabd67ec35b9b7705b422b0fdfe38b18a1800bbce3ba161b53d229d307ea7f5c0269ef3d031980
    

リリースコメント

脆弱性を報告してくれた皆様、パッチを作成してくれた皆様、そしてリリースに協力してくれた皆様に感謝します。

Posted by usa on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

Ruby 2.3.7 リリース

Ruby 2.3.7 がリリースされました。 これは安定版 2.3 系列の TEENY リリースです。

今回のリリースでは、前回リリースから 70 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。 また、以下のセキュリティ上の問題に対する対応が含まれています。

詳しくは、対応する ChangeLog を参照してください。

今回のリリースをもって、2.3 系列は通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズへ移行します。セキュリティメンテナンスフェーズの期間は 1 年間を予定しており、この間は重大なセキュリティ上の問題への対応のみが行われます。セキュリティメンテナンスフェーズ期間の満了をもって、2.3 系列の公式サポートは終了します。 現在、2.3 系列を利用しているユーザーの皆さんは、なるべく早く、2.5 系列等のより新しいバージョン系列の Ruby への移行を検討されるよう、お勧めします。

※ただし、今回のリリースにおいて何らかの重大な互換性問題が発見された場合は、これに対応するためのリリースが行われる可能性はあります。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.7.tar.bz2

    SIZE:   14421177 bytes
    SHA1:   3bb88965405da5e4de2432eeb445fffa8a66fb33
    SHA256: 18b12fafaf37d5f6c7139c1b445355aec76baa625a40300598a6c8597fc04d8e
    SHA512: e72754f7703f0706c4b0bccd053035536053451fe069a55427984cc0bc5692b86bd51c243c5f62f78527c66b08300d2e4aa19b73e6ded13d6020aa2450e66a7d
    
  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.7.tar.gz

    SIZE:   17859100 bytes
    SHA1:   540996fec64984ab6099e34d2f5820b14904f15a
    SHA256: 35cd349cddf78e4a0640d28ec8c7e88a2ae0db51ebd8926cd232bb70db2c7d7f
    SHA512: 1ceccf00981d6d60e7587e89a04cc028f976950313ee445db5afd03e323472d3e69a35423733b24f9cbd9729f034cf80d2233b5c159764839f5bee4ca7052fe0
    
  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.7.tar.xz

    SIZE:   11438124 bytes
    SHA1:   c489248730cbce7721edd3e97de81e68eec938b2
    SHA256: c61f8f2b9d3ffff5567e186421fa191f0d5e7c2b189b426bb84498825d548edb
    SHA512: fd91c8db3d3aa4cc962a62f27b4d1a71f6b5567ab836e6dbfbbb1553eb269d11e12faf9e36af6c489c33b54fd89dab99bfe81a563158b704877f0628d6f5bc5a
    
  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.7.zip

    SIZE:   19911423 bytes
    SHA1:   ec6870b39125238d8d57d642225592896ed3b6d9
    SHA256: ffa42eeff928624a05dc7ad39426c855c6e9a757417f17b6fe9e54664ec91012
    SHA512: c85255a7f43c7df2fb11be4f9aa96e2ae70a94d3e963ccff4d8c1349ad6d455d9a436812efb24c91e451e68b8f81e5d335c6d5811b2a0e945a7070c305054434
    

リリースコメント

リリースに協力してくれた皆様に感謝します。

このリリースを含む Ruby 2.3 系列の保守は、一般財団法人 Ruby アソシエーションの Ruby 安定版保守委託事業に基いています。

Posted by usa on 28 Mar 2018

imgix-klWUhr-wPJ8-unsplash

CVE-2018-8779: UNIX ドメインソケットにおいて NUL 文字挿入により意図しないソケットにアクセスされうる脆弱性について

Ruby の標準添付ライブラリである socket のメソッド UNIXServer.open で、ソケット名として指定された文字列中に NUL 文字を挿入しておくことによって、意図しないパス名でソケットが生成されうるという脆弱性が発見されました。 また、同じく UNIXSocket.open メソッドにおいても、ソケット名として指定された文字列に NUL 文字を挿入しておくことによって、意図しないパス名のソケットにアクセスしうるという脆弱性も発見されました。 この脆弱性は、CVE-2018-8779 として登録されています。

詳細

標準添付ライブラリ socket のメソッド UNIXServer.open では、第 1 引数で生成するソケットのパス名を指定します。この際、指定されたパス名中に NUL 文字 (\0) が含まれていた場合、NUL 文字直前でパス名が完結しているとみなして、そのパス名でソケットを生成していました。このため、外部からの入力を UNIXServer.open に与えていた場合、その妥当性をスクリプトで確認していたとしても、意図しないパス名でソケットが生成されうる場合がありました。 また、同様に、UNIXSocket.open においても、第 1 引数でアクセスするソケットのパス名を指定します。この際にも、指定されたパス名中に NUL 文字が含まれていた場合、UNIXServer.open と同様にその直前でパス名が完結しているとみなしてそのパス名でソケットにアクセスしていました。このため、外部からの入力を UNIXSocket.open に与えていた場合、その妥当性をスクリプトで確認していたとしても、意図しないパス名のソケットにアクセスしうる場合がありました。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.2.9 以前の全ての Ruby 2.2 系列
  • Ruby 2.3.6 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.3 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.0
  • Ruby 2.6.0-preview1
  • revision 62991 より前の開発版

クレジット

この脆弱性情報は、ooooooo_q 氏によって報告されました。

更新履歴

  • 2018-03-28 23:00:00 (JST) 初版

Posted by usa on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

CVE-2018-8780: Dir において NUL 文字挿入により意図しないディレクトリにアクセスされうる脆弱性について

Ruby の組み込みクラス Dir のいくつかのメソッドにおいて、ディレクトリ名として渡された引数文字列中に NUL 文字を挿入しておくことによって、意図しないディレクトリにアクセスしうるという脆弱性が発見されました。 この脆弱性は、CVE-2018-8780 として登録されています。

詳細

組み込みクラス Dir のメソッド Dir.openDir.newDir.entriesDir.empty? 等では、引数で対象となるディレクトリのパス名を指定します。この際、指定されたパス名中に NUL 文字 (\0) が含まれていた場合、NUL 文字直前でパス名が完結しているとみなして、そのパス名に対してアクセスしていました。このため、外部からの入力を Dir.open に与えていた場合、その妥当性をスクリプトで確認していたとしても、意図しないパス名のディレクトリにアクセスしうる場合がありました。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.2.9 以前の全ての Ruby 2.2 系列
  • Ruby 2.3.6 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.3 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.0
  • Ruby 2.6.0-preview1
  • revision 62989 より前の開発版

クレジット

この脆弱性情報は、ooooooo_q 氏によって報告されました。

更新履歴

  • 2018-03-28 23:00:00 (JST) 初版

Posted by usa on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS 脆弱性について

Ruby の標準添付ライブラリである WEBrick で、攻撃者により巨大なリクエストが送信された場合、メモリを浪費して DoS が成立しうる脆弱性が発見されました。 この脆弱性は、CVE-2018-8777 として登録されています。

詳細

標準添付ライブラリ WEBrick において、攻撃者によって巨大な HTTP ヘッダを持つリクエストが送信された場合、これをメモリ上で処理しようとしているため、メモリを浪費してしまい DoS 攻撃が成立するようになっていました。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.2.9 以前の全ての Ruby 2.2 系列
  • Ruby 2.3.6 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.3 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.0
  • Ruby 2.6.0-preview1
  • revision 62965 より前の開発版

クレジット

この脆弱性情報は、Eric Wong 氏 [email protected] によって報告されました。

更新履歴

  • 2018-03-28 23:00:00 (JST) 初版

Posted by usa on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について

Ruby の標準添付ライブラリである WEBrick で、攻撃者により偽の HTTP レスポンス生成を許してしまう脆弱性が発見されました。 この脆弱性は、CVE-2017-17742 として登録されています。

詳細

標準添付ライブラリ WEBrick において、外部からの入力をそのまま HTTP レスポンスの一部として出力するようなスクリプトで利用していた場合、そうした入力中に改行文字を含めることによって、あたかもその HTTP レスポンスがそこで打ち切られたかのように振る舞わせた上で、以降に任意の HTTP レスポンスを出力させることによって、悪意ある内容を利用者に閲覧させることが可能となっていました。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.2.9 以前の全ての Ruby 2.2 系列
  • Ruby 2.3.6 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.3 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.0
  • Ruby 2.6.0-preview1
  • revision 62968 より前の開発版

クレジット

この脆弱性情報は、Aaron Patterson 氏 [email protected]によって報告されました。

更新履歴

  • 2018-03-28 23:00:00 (JST) 初版

Posted by usa on 28 Mar 2018

adi-goldstein-EUsVwEOsblE-unsplash

CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性について

Ruby の標準添付ライブラリである tmpdir で、攻撃者により任意のディレクトリを一時ディレクトリ作成場所として指定可能な脆弱性が発見されました。また、同じく標準添付ライブラリである tempfile も内部で tmpdir を使用しているため、同様に任意のディレクトリを一時ファイル作成場所として指定可能となっていました。 この脆弱性は、CVE-2018-6914 として登録されています。

詳細

標準添付ライブラリ tmpdir によって追加されるメソッド Dir.mktmpdir では、第 1 引数で生成されるディレクトリ名のプレフィックスとサフィックスを指定することができます。このプレフィックスには事実上任意の文字列が指定可能なため、相対ディレクトリ指定 "../" を含めることにより、任意のディレクトリを対象とすることが可能となっていました。 このため、外部の入力をプレフィックスとして指定可能であり、かつ、各ディレクトリに適切なパーミッションが指定されていない場合またはRubyプロセスが不適切に強い権限で実行されている場合には、攻撃者によって任意のディレクトリ上にディレクトリまたはファイルが作成可能となっていました。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.2.9 以前の全ての Ruby 2.2 系列
  • Ruby 2.3.6 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.3 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.0
  • Ruby 2.6.0-preview1
  • revision 62990 より前の開発版

クレジット

この脆弱性情報は、ooooooo_q 氏によって報告されました。

更新履歴

  • 2018-03-28 23:00:00 (JST) 初版

Posted by usa on 28 Mar 2018