php:7.4 security, bug fix, and enhancement update

以下項目について対処しました。

[Security Fix]
- PHP の phar 拡張モジュールには、PHAR ファイルを処理しているときに
phar_parse_zipfile はだまされて解放済みメモリーにアクセスする問題があ
り、クラッシュや情報漏洩に繋がる脆弱性があります。(CVE-2020-7068)

- PHP の openssl_encrypt() 関数には、AES-CCM モードで使われたとき初期
化ベクトルに12バイト用いたのにもかかわらず、実際には最初の 7 バイトし
か使われない問題があり、セキュリティの低下やデータの暗号化の間違いに繋
がる脆弱性があります。(CVE-2020-7069)

- PHP は受信した HTTP クッキー値を処理する際にクッキー名を URL デコー
ドするため、__Host のようなプレフィックスを持つクッキーと、 __Host と
同じプレフィックスにデコードされるクッキーとが混同される問題があるため、
攻撃者が安全とされるはずのクッキーを偽造できる可能性がある脆弱性があり
ます。(CVE-2020-7070)

- PHP の filter_var() のような関数で URL を検証したときに、無効なパス
ワードを含んだ URL を有効な URL として受け入れてしまうため、URL は有効
であることを信頼する関数に対して、URL を誤って解釈させ、URL の構成要素
として誤ったデータを生成させてしまう脆弱性があります。(CVE-2020-7071)

- PHP の SOAP 拡張モジュールには、不正な XML データをレスポンスとして
返す悪意のある SOAP サーバーに接続したとき、null ポインターにアクセス
する問題があるため、クラッシュが発生する脆弱性があります。
(CVE-2021-21702)

Modularity name: php
Stream name: 7.4