旬のトピック、最新ニュースのマピオンニュース。地図の確認も。

Zend Frameworkに脆弱性、原因はPHPの可能性も - 現在は係争状態

2021年01月07日11時36分 / 提供:マイナビニュース

Threatpostは1月5日(米国時間)、「RCE 'Bug' Found and Disputed in Popular PHP Scripting Framework|Threatpost」において、人気の高いWebアプリケーションフレームワーク「Zend Framework」およびその後継プロジェクトであるLaminas Projectの成果物にリモートコード実行の脆弱性があると伝えた。ただし、この脆弱性はツール側ではなく、PHPの問題という指摘があるとともに係争状態にある点に注意が必要。

問題の脆弱性の概要は次のページにまとめられている。

CVE - CVE-2021-3007

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Zend Framework 3.0.0
Laminas Project laminas-http 2.14.1およびこれよりも前のバージョン

Zend Framework 3.0.0はすでにサポートが終了している。laminas-httpのベンダーはこの問題をlaminas-httpの脆弱性ではなく、PHP言語そのものの脆弱性だと認識している。このため、上記のCVEも係争状態(DISPUTED)という位置づけになっているほか、脆弱性が修正されたというlaminas-http 2.14.2のリリースメッセージでも脆弱性の修正ではなく「セキュリティの強化」という言葉が使われている。

最近、CVEで係争状態に位置づけられている脆弱性もサイバー攻撃に使われる傾向が出てきており注意が必要。この脆弱性を悪用するには脆弱なコードを書く必要があるとされており、攻撃対象としてどの程度汎用的に使えるかは不透明だが、該当するプロダクトを使っている場合は迅速にアップデートを適用することが望まれる。

続きを読む ]

このエントリーをはてなブックマークに追加

あなたにおすすめの記事

関連記事

ネタ・コラムカテゴリのその他の記事

マピオンニュース ページ上部へ戻る