PHPセキュリティ保守サービスをPHP 5.3に対応 〜 開発元によるPHP 5.3のセキュリティ修正は2014年8月に終了 〜
[14/11/12]
提供元:@Press
提供元:@Press
ITコンサルティングなどのITサービスを展開するエレクトロニック・サービス・イニシアチブ有限会社(所在地:岡山県総社市、代表取締役社長:大垣 靖男、以下「ESI」)は、「PHPセキュリティ保守サービス」(2007年開始)のサービス対象PHPバージョンにPHP 5.3を追加いたします。「PHPセキュリティ保守サービス」ではPHP 4.3からPHP 5.3までのPHPプロジェクトによるセキュリティメンテナンスが終了したPHPにセキュリティパッチを提供します。
PHPセキュリティ保守サービス: http://www.es-i.jp/service/php-security-patch-service.html
■■PHPプロジェクトによるPHP 5.3のサポート停止
PHP 5.3のサポート停止は2013年春にアナウンスされています。PHP 5.3へのセキュリティパッチの提供は2014年8月のPHP 5.3.29リリースで終了しました。安全にPHP 5.3を利用するには別途必要なセキュリティパッチを適用し利用する必要があります。
■■PHP 5.3の状況
最後のPHP 5.3である5.3.29リリース後に提供されたPHP 5.4.33 / 5.4.34では、PHP 5.3.29に適用可能なセキュリティ脆弱性(CVE-2014-3670、CVE-2014-3669、CVE-2014-3668)が修正されています。CVE番号の無い脆弱性を含めると17の脆弱性が修正されています。これらの脆弱性でPHP 5.3.29に適用される脆弱性修正は9つあります。
レッドハット株式会社は自社のPHPパッケージに対してセキュリティ修正を提供し続けますが、比較的古いPHPバージョンであるためレッドハット株式会社のPHPパッケージではなく、最新のソースからビルドしたPHPを利用されている企業も多くあります。このような場合、サポートされるPHP 5.4 / 5.5 / 5.6へバージョンアップを行わなければ十分な安全性を維持できません。
■■PHPセキュリティ保守サービス提供の背景
コンピュータを安全に利用するにはソフトウェアはできる限り最新のリリースバージョンを利用しなければなりません。しかし、実際には動作検証や互換性問題の修正などへリソースが割けないため、新しいバージョンへバージョンアップできない場合も多くあります。Webシステムが複雑になればなるほどバージョンアップのリスクも増加します。バグフィックスリリースのバージョンアップは比較的容易に行えますが、マイナーバージョンアップやメジャーバージョンアップの場合、既存アプリケーションとの互換性確認や互換性問題の修正には多くの時間とコストが必要となります。クレジットカード会社などで策定したセキュリティ標準であるPCI DSS標準は重要なシステムに対して1ヶ月以内、重要でないシステムに対しても3ヶ月以内に全てのセキュリティ脆弱性に対する修正を適用することを求めています。PCI DSS準拠が必要な組織にとっては脆弱性修正が行われないサポート終了後のPHPを利用するには脆弱性修正パッチを別途作成・管理することは必須事項です。
PHPセキュリティ保守サービスは容易にPHPバージョンアップが行えない状況の利用者も、安全にサポート終了後のPHPをご利用頂けるようパッチ済みのPHPを提供いたします。サービス利用者は既存アプリケーションへの投資効果の最大化が可能となります。
■■PHPセキュリティ保守サービス
ESIはPHPをバージョンアップすることなく安全に利用することを可能とする「PHPセキュリティ保守サービス」を2007年から提供し、一般のWebサイトからホスティングサービス、企業内システム、ECサイトなどで利用されています。PHPプロジェクトが公式に脆弱性と認めた問題は勿論、独自にソースコード分析を行い修正が望ましいと判断した脆弱性を含めPHPセキュリティ保守サービスとしてパッチを提供しています。
・プラットフォーム:RHEL 4 / 5 / 6 / 7 および CentOS 4 / 5 / 6 / 7(Intel CPU)
・PHPバージョン:PHP 4.3 / 4.4 / 5.1 / 5.2 / 5.3 のそれぞれ最終リリースバージョン
・提供物:SRPM形式のPHPパッケージ
セキュリティパッチの作成者はPHP本体を開発するPHPプロジェクトの開発者の1人であり、PHPの機能追加、バグフィックス、脆弱性修正などを行っています。PHP内部を熟知した技術者が最新のPHPリリースバージョンから必要なセキュリティ修正をサポート終了後のPHPへバックポートします。
上記以外のプラットフォーム、PHPバージョンの場合もカスタマイズサービスとしてご提供しています。
<カスタマイズサービス例>
・Oracle LinuxプラットフォームにおけるPHP 4.4サポート
・FreeBSDプラットフォームにおけるPHP 5.2サポート
・Solaris / SparcプラットフォームにおけるPHP 4.3サポート
■■PHPセキュリティ保守サービスについてはESIのホームページをご覧ください。
エレクトロニック・サービス・イニシアチブ http://www.es-i.jp/
PHPセキュリティ保守サービス http://www.es-i.jp/service/php-security-patch-service.html
※PHPとは
PHP( http://www.php.net/ )は世界中のWebサーバー、2億4千万ドメインで利用されているトップシェアのWebアプリケーションプラットフォームです。米国政府のホワイトハウスからインターネットサービス大手のフェイスブック株式会社、ヤフー株式会社などが利用しています。PHPで構築されたWordPress、DrupalなどのCMSアプリケーションは大企業から個人まで幅広く利用されいます。
■■会社概要
(1) 商号 : エレクトロニック・サービス・イニシアチブ有限会社
(2) 代表者 : 代表取締役社長 大垣 靖男
(3) 所在地 : 岡山県総社市西坂台228番地
(4) 設立年月日 : 2000年3月
(5) 主な事業内容: WEBシステムに関するコンサルティング業
(6) 資本金 : 500万円
(7) URL : http://www.es-i.jp/
(8) 商品サイト : http://www.es-i.jp/service/
※記載されているロゴ、会社名、製品・サービス名は、各社の登録商標または商標です。
PHPセキュリティ保守サービス: http://www.es-i.jp/service/php-security-patch-service.html
■■PHPプロジェクトによるPHP 5.3のサポート停止
PHP 5.3のサポート停止は2013年春にアナウンスされています。PHP 5.3へのセキュリティパッチの提供は2014年8月のPHP 5.3.29リリースで終了しました。安全にPHP 5.3を利用するには別途必要なセキュリティパッチを適用し利用する必要があります。
■■PHP 5.3の状況
最後のPHP 5.3である5.3.29リリース後に提供されたPHP 5.4.33 / 5.4.34では、PHP 5.3.29に適用可能なセキュリティ脆弱性(CVE-2014-3670、CVE-2014-3669、CVE-2014-3668)が修正されています。CVE番号の無い脆弱性を含めると17の脆弱性が修正されています。これらの脆弱性でPHP 5.3.29に適用される脆弱性修正は9つあります。
レッドハット株式会社は自社のPHPパッケージに対してセキュリティ修正を提供し続けますが、比較的古いPHPバージョンであるためレッドハット株式会社のPHPパッケージではなく、最新のソースからビルドしたPHPを利用されている企業も多くあります。このような場合、サポートされるPHP 5.4 / 5.5 / 5.6へバージョンアップを行わなければ十分な安全性を維持できません。
■■PHPセキュリティ保守サービス提供の背景
コンピュータを安全に利用するにはソフトウェアはできる限り最新のリリースバージョンを利用しなければなりません。しかし、実際には動作検証や互換性問題の修正などへリソースが割けないため、新しいバージョンへバージョンアップできない場合も多くあります。Webシステムが複雑になればなるほどバージョンアップのリスクも増加します。バグフィックスリリースのバージョンアップは比較的容易に行えますが、マイナーバージョンアップやメジャーバージョンアップの場合、既存アプリケーションとの互換性確認や互換性問題の修正には多くの時間とコストが必要となります。クレジットカード会社などで策定したセキュリティ標準であるPCI DSS標準は重要なシステムに対して1ヶ月以内、重要でないシステムに対しても3ヶ月以内に全てのセキュリティ脆弱性に対する修正を適用することを求めています。PCI DSS準拠が必要な組織にとっては脆弱性修正が行われないサポート終了後のPHPを利用するには脆弱性修正パッチを別途作成・管理することは必須事項です。
PHPセキュリティ保守サービスは容易にPHPバージョンアップが行えない状況の利用者も、安全にサポート終了後のPHPをご利用頂けるようパッチ済みのPHPを提供いたします。サービス利用者は既存アプリケーションへの投資効果の最大化が可能となります。
■■PHPセキュリティ保守サービス
ESIはPHPをバージョンアップすることなく安全に利用することを可能とする「PHPセキュリティ保守サービス」を2007年から提供し、一般のWebサイトからホスティングサービス、企業内システム、ECサイトなどで利用されています。PHPプロジェクトが公式に脆弱性と認めた問題は勿論、独自にソースコード分析を行い修正が望ましいと判断した脆弱性を含めPHPセキュリティ保守サービスとしてパッチを提供しています。
・プラットフォーム:RHEL 4 / 5 / 6 / 7 および CentOS 4 / 5 / 6 / 7(Intel CPU)
・PHPバージョン:PHP 4.3 / 4.4 / 5.1 / 5.2 / 5.3 のそれぞれ最終リリースバージョン
・提供物:SRPM形式のPHPパッケージ
セキュリティパッチの作成者はPHP本体を開発するPHPプロジェクトの開発者の1人であり、PHPの機能追加、バグフィックス、脆弱性修正などを行っています。PHP内部を熟知した技術者が最新のPHPリリースバージョンから必要なセキュリティ修正をサポート終了後のPHPへバックポートします。
上記以外のプラットフォーム、PHPバージョンの場合もカスタマイズサービスとしてご提供しています。
<カスタマイズサービス例>
・Oracle LinuxプラットフォームにおけるPHP 4.4サポート
・FreeBSDプラットフォームにおけるPHP 5.2サポート
・Solaris / SparcプラットフォームにおけるPHP 4.3サポート
■■PHPセキュリティ保守サービスについてはESIのホームページをご覧ください。
エレクトロニック・サービス・イニシアチブ http://www.es-i.jp/
PHPセキュリティ保守サービス http://www.es-i.jp/service/php-security-patch-service.html
※PHPとは
PHP( http://www.php.net/ )は世界中のWebサーバー、2億4千万ドメインで利用されているトップシェアのWebアプリケーションプラットフォームです。米国政府のホワイトハウスからインターネットサービス大手のフェイスブック株式会社、ヤフー株式会社などが利用しています。PHPで構築されたWordPress、DrupalなどのCMSアプリケーションは大企業から個人まで幅広く利用されいます。
■■会社概要
(1) 商号 : エレクトロニック・サービス・イニシアチブ有限会社
(2) 代表者 : 代表取締役社長 大垣 靖男
(3) 所在地 : 岡山県総社市西坂台228番地
(4) 設立年月日 : 2000年3月
(5) 主な事業内容: WEBシステムに関するコンサルティング業
(6) 資本金 : 500万円
(7) URL : http://www.es-i.jp/
(8) 商品サイト : http://www.es-i.jp/service/
※記載されているロゴ、会社名、製品・サービス名は、各社の登録商標または商標です。