メールマガジン

PHPの脆弱性

今月の気になるオープンソース情報(2015年9月号)

OSS研究室 田中 温子

今回は、PHPの脆弱性について紹介します。今回紹介する脆弱性(CVE-2015-4024)は、今年5月にPHPで発表された問題で、不正に細工されたデータをPOSTすることで、サーバのCPU使用率を上昇させることができる、というものです。あまり大きく騒がれていませんが、非常に影響が大きく、攻撃が容易な脆弱性で、多くの顧客から問い合わせを受けています。

この脆弱性の怖いところは、「PHPが動作すればどんなページでも対象になる」ということです。フォームがない単純なページや、phpinfo()を表示するだけのページでも攻撃の対象になります。このようなPHPが動作するページに対して、不正なPOSTを送信されると、サーバのCPU使用率がすぐに100%近くに上昇します。つまり、「外部からアクセスできるPHPが動作するページがある」というだけで、攻撃の対象になる可能性があるのです。
また、PHPのバグレポートのページには、どういう内容がPOSTされたときに問題が発生するのかが細かく解説されています。攻撃者は簡単なプログラムで、簡単にDoS攻撃を行うことができるのです。

では、このような攻撃をされると、サービスにはどのような影響があるのでしょう?PHPは、Webサーバのモジュールとして動作するスクリプト言語です。攻撃によってWebサーバのプロセスがCPUを100%使う状態になるので、Webページへアクセスしても表示されない、ボタンを押しても応答が返ってこない、といったことが起こる可能性があります。また、同じCPU使用率100%の状態が続けば、最悪の場合、システムが停止してしまう可能性もあります。

このように、PHPであれば攻撃の対象となり、簡単にシステムに影響を与えられるため、デージーネットではこの脆弱性を重要な問題だととらえ、PHP本家ではサポートされていない古いバージョンをお使いのお客様にも影響があるのかどうかを調査しました。そして、4.4系、5.2系のPHPでも同様の現象が発生することが確認できたため、お客様へ修正パッチを提供しました。
5.4以前の古いバージョンのPHPでも発生するであろう重要な問題です。対応が済んでいない場合は、すぐに対策を行いましょう。

デージーネットマガジン2015年9月号記事一覧

PHPの脆弱性の先頭へ