PHPセキュリティ保守サービスをPHP 5.3に対応 ~ 開発元によるPHP 5.3のセキュリティ修正は2014年8月に終了 ~

@Press / 2014年11月12日 10時0分

ITコンサルティングなどのITサービスを展開するエレクトロニック・サービス・イニシアチブ有限会社(所在地:岡山県総社市、代表取締役社長:大垣 靖男、以下「ESI」)は、「PHPセキュリティ保守サービス」(2007年開始)のサービス対象PHPバージョンにPHP 5.3を追加いたします。「PHPセキュリティ保守サービス」ではPHP 4.3からPHP 5.3までのPHPプロジェクトによるセキュリティメンテナンスが終了したPHPにセキュリティパッチを提供します。

PHPセキュリティ保守サービス: http://www.es-i.jp/service/php-security-patch-service.html


■■PHPプロジェクトによるPHP 5.3のサポート停止
PHP 5.3のサポート停止は2013年春にアナウンスされています。PHP 5.3へのセキュリティパッチの提供は2014年8月のPHP 5.3.29リリースで終了しました。安全にPHP 5.3を利用するには別途必要なセキュリティパッチを適用し利用する必要があります。


■■PHP 5.3の状況
最後のPHP 5.3である5.3.29リリース後に提供されたPHP 5.4.33 / 5.4.34では、PHP 5.3.29に適用可能なセキュリティ脆弱性(CVE-2014-3670、CVE-2014-3669、CVE-2014-3668)が修正されています。CVE番号の無い脆弱性を含めると17の脆弱性が修正されています。これらの脆弱性でPHP 5.3.29に適用される脆弱性修正は9つあります。

レッドハット株式会社は自社のPHPパッケージに対してセキュリティ修正を提供し続けますが、比較的古いPHPバージョンであるためレッドハット株式会社のPHPパッケージではなく、最新のソースからビルドしたPHPを利用されている企業も多くあります。このような場合、サポートされるPHP 5.4 / 5.5 / 5.6へバージョンアップを行わなければ十分な安全性を維持できません。


■■PHPセキュリティ保守サービス提供の背景
コンピュータを安全に利用するにはソフトウェアはできる限り最新のリリースバージョンを利用しなければなりません。しかし、実際には動作検証や互換性問題の修正などへリソースが割けないため、新しいバージョンへバージョンアップできない場合も多くあります。Webシステムが複雑になればなるほどバージョンアップのリスクも増加します。バグフィックスリリースのバージョンアップは比較的容易に行えますが、マイナーバージョンアップやメジャーバージョンアップの場合、既存アプリケーションとの互換性確認や互換性問題の修正には多くの時間とコストが必要となります。クレジットカード会社などで策定したセキュリティ標準であるPCI DSS標準は重要なシステムに対して1ヶ月以内、重要でないシステムに対しても3ヶ月以内に全てのセキュリティ脆弱性に対する修正を適用することを求めています。PCI DSS準拠が必要な組織にとっては脆弱性修正が行われないサポート終了後のPHPを利用するには脆弱性修正パッチを別途作成・管理することは必須事項です。
PHPセキュリティ保守サービスは容易にPHPバージョンアップが行えない状況の利用者も、安全にサポート終了後のPHPをご利用頂けるようパッチ済みのPHPを提供いたします。サービス利用者は既存アプリケーションへの投資効果の最大化が可能となります。

  • 前のページ
    • 1
    • 2
  • 次のページ
@Press

この記事に関連するニュース

トピックスRSS

ランキング