php:7.4 security update

以下項目について対処しました。

[Security Fix]
- PHP の password_verify() 関数には、不正な形式の Blowfish
ハッシュ値を有効なものとして取り扱ってしまう問題があるため、
ローカルの攻撃者により、アプリケーションが不正なパスワード
を有効なものとして処理してしまうことを可能とする脆弱性が
存在します。(CVE-2023-0567)

- PHP の パス解決関数には、割り当てるバッファサイズが
1 バイト分不足しているためにバッファの範囲外に NULL 値が
書き込まれてしまう問題があるため、リモートの攻撃者により、
システムで設定された MAXPATHLEN の値に近い長さのパスの
解決を介して、不正なデータの読み取りや書き込みを可能とする
脆弱性が存在します。(CVE-2023-0568)

- PHP には、SOAP HTTP ダイジェスト認証を利用する場合、
乱数値の生成の失敗をチェックしておらず想定よりも狭い範囲
の乱数を使用してしまう問題があるため、リモートの攻撃者に
より、ナンスの推測を可能とする脆弱性が存在します。
CVE-2023-3247)

- PHP には、外部エンティティ参照の制限に問題があるため、
リモートの攻撃者により、外部エンティティを読み込んだ状態
で外部 XML を解析することを介して、PHP からアクセス可能な
任意のローカルファイルの読み取りを可能とする脆弱性が存在
します。(CVE-2023-3823)

- PHP の PHAR ディレクトリエントリの読み込み処理には、
ファイル名の長さの検証に問題があるため、リモートの攻撃者
により、バッファオーバーフローの発生とこれに起因するメモリ
破壊やリモートコード実行を可能とする脆弱性が存在します。
(CVE-2023-3824)

- PHP には、ネットワークおよび同じサイトの攻撃者により、
PHP アプリケーションを介して、標準の安全でないクッキーを
ブラウザにセットできる脆弱性が存在します。(CVE-2024-2756)

- PHP の password_verify() 関数には、password_hash()
関数で生成されたパスワードが NULL 文字で始まる場合、誤って
True を返してしまう問題があるため、リモートの攻撃者により、
不正な認証を可能とする脆弱性が存在します。(CVE-2024-3096)

- PHP の filter_var などのフィルタリング関数には、URL に
埋め込まれた無効なユーザー情報を有効なユーザー情報として
取り扱ってしまう問題があるため、リモートの攻撃者により、
細工された URL の処理を介して、不正な認証を可能とする脆弱性
が存在します。(CVE-2024-5458)

- PHP には、HTTP POST リクエスト内のマルチパートフォーム
データの解析処理に問題があるため、リモートの攻撃者により、
細工された HTTP POST リクエストの処理を介して、送信された
データの改ざんや、これに起因する不正なアプリケーションの
動作を可能とする脆弱性が存在します。(CVE-2024-8925)

- PHP には、cgi.force_redirect オプションによる
リダイレクトが正しく機能しなくなる問題があるため、リモート
の攻撃者により、HTTP_REDIRECT_STATUS HTTP ヘッダー変数
を変更するように細工されたリクエストの送信を介して、意図した
PHP の呼び出しの阻害、および任意のファイルの組み込みを可能
とする脆弱性が存在します。(CVE-2024-8927)

- PHP-FPM には、PHP-FPM SAPI を使用し、かつ
catch_workers_output オプションを有効化しワーカー出力を
キャッチするように設定している場合、ログメッセージから意図
せず最大 4 文字を上書きもしくは削除できてしまう問題がある
ため、ローカルの攻撃者により、細工されたログの処理を介して、
ログメッセージの改竄を可能とする脆弱性が存在します。
(CVE-2024-9026)

Modularity name: php
Stream name: 7.4