PHPに複数の脆弱性、最新版で修正 情シスの対応点

脆弱性・脅威情報

PHPの開発チームは2026年7月2〜3日、複数の脆弱性を修正したセキュリティ更新版を公開しました。対象は現在サポート中の全ブランチ(8.2〜8.5系)で、修正版は8.5.8 / 8.4.23 / 8.3.32 / 8.2.32です。PHPはWordPressをはじめ社内Webシステムや業務アプリの土台として広く使われており、自社サーバーやレンタルサーバー上のバージョンを一度棚卸しすることをおすすめします。

ただし今回の修正の多くは、メモリ破壊や整数オーバーフローといった特定の関数・条件下で起きる不具合です。「入れておけば安心」ではなく、自社が該当機能を使っているかで優先度が変わります。本記事ではその判断材料を整理します。

  • 今回修正された脆弱性の種類と対象バージョン
  • 「すぐ直すべきか」を判断するための現場の視点
  • 情シスとして押さえるべきパッチ運用の考え方

何が起きたのか

PHPの各サポートブランチに対し、複数の脆弱性をまとめて修正したセキュリティリリースが公開されました。主な修正内容は、公開情報およびPHP公式のChangeLog・GitHub上のIssueで確認できる範囲で次のとおりです。

  • OpenSSL拡張openssl_encrypt() で「AES-WRAP-PAD」を扱う際にヒープ(メモリ)破壊が発生しうる問題(GH-22187)。
  • GD拡張:画像処理関数でのダブルフリーや整数オーバーフロー。オーバーフロー起因の早期リターン後に gdImageSetStyle() で二重解放が起きるケースなど。
  • BCMathbcround() 等での過大なメモリ割り当て・符号付き整数オーバーフロー。
  • Phar:「.phar」ディレクトリ保護のバイパス(addEmptyDir() で「/.phar」始まりのパスが保護されない問題)。
  • file_get_contents:プロキシ設定時にHTTPS URLを取得すると異常終了(セグメンテーション違反)する安定性上の不具合(GH-21468)。

各修正にはGitHubのIssue番号(GH-22187など)が付与されています。個別のCVE番号については、報じる媒体によって記載が分かれている段階のため、正確な採番は各Linuxディストリビューションのセキュリティ勧告やPHP公式の情報で確認してください。ここでは「どの機能に、どんな種類の欠陥があったか」を押さえることを優先します。

影響を受ける環境は?

結論から言うと、サポート対象ブランチの古いパッチレベルを使っているPHP環境が対象です。今回の修正版より前のバージョンは、上記の機能を使う経路で影響を受けうると考えるのが安全です。

ブランチ 修正版(今回) これより前は要更新
PHP 8.5系 8.5.8
PHP 8.4系 8.4.23
PHP 8.3系 8.3.32
PHP 8.2系 8.2.32

注意したいのは、すでにサポートが終了したPHP 8.1以前です。8.1は2025年末でサポートが終了しており、今回のような修正は提供されません。EOL(サポート終了)のPHPを動かし続けている場合、今回の件に限らず今後の脆弱性に対して無防備になるため、バージョンアップ計画を最優先で検討すべきです。

自社ではどう確認すればよいか

まずは動いているPHPのバージョンを把握するところからです。サーバー上で php -v を実行する、phpinfo() を確認する、あるいはレンタルサーバー/マネージドホスティングであれば管理画面のPHPバージョン設定を見る、といった方法があります。WordPressやEC、社内グループウェアなど「PHPで動いているとは意識していないシステム」に古いPHPが同梱されていないかも、この機会に洗い出しておくと安全です。

すぐに直すべきか?優先度の考え方

「即座に緊急対応」よりは「計画的に、しかし後回しにしない」レベルと捉えるのが現実的です。今回の脆弱性の多くは、攻撃者が任意のコードを無条件でリモート実行できるタイプというより、openssl_encrypt() や画像処理、Pharの特定機能などアプリ側がその機能を、かつ外部由来のデータで呼び出している場合に問題化するものです。

そのため優先度は、「該当機能を、信頼できない入力で使っているか」で見極めます。たとえば外部からアップロードされた画像をGDで加工している、外部入力を暗号化処理に渡している、といった構成は優先的に更新したい対象です。逆に、そうした経路が無い静的な社内ツールであれば、通常のパッチ適用サイクルに載せる判断も取り得ます。

現場目線の課題

正直なところ、PHPのマイナー更新は「気づけば数バージョン遅れていた」となりがちです。特に情シスが直接管理していないサーバー(事業部門が立てたレンタルサーバー、外注制作のサイトなど)のPHPは、誰も更新していないまま放置されているケースが少なくありません。今回のように「全ブランチ同時にまとめて修正」が出たタイミングは、そうした管理外のPHP資産を洗い出す良い機会でもあります。バージョン番号を追いかけるより、「そもそも社内にどれだけPHPが動いているか」を把握しているかどうかが、現場では効いてきます。

情シスはどうすべきか

個別の脆弱性対応も大切ですが、本質は「日常的にパッチを当てられる運用」を作れているかです。単発の対応チェックリストを増やすより、資産管理と更新の仕組みを整えるほうが長期的に効きます。基本的な考え方は、公的機関の指針を土台にするのが確実です。

あわせて、社内のPHP利用箇所(自社構築システム・WordPress・外注サイト等)の一覧を持ち、リリース情報を定点観測する担当・仕組みを決めておくと、次回以降の対応が格段に軽くなります。地道ですが、こうしたユーザー・部門への啓発と情報の一元把握こそが、脆弱性が出るたびに慌てない体制につながります。

まとめ

  • PHPが2026年7月に全サポートブランチ向けのセキュリティ更新(8.5.8 / 8.4.23 / 8.3.32 / 8.2.32)を公開。OpenSSL・GD・BCMath・Pharなど複数の脆弱性を修正した。
  • 多くは特定機能・条件下で起きる不具合のため、「該当機能を信頼できない入力で使っているか」で優先度を判断する。EOLのPHP 8.1以前は最優先で更新計画を。
  • 単発対応より、社内のPHP資産の把握と継続的なパッチ運用の仕組み作りが本質。土台はIPAの公的指針を活用する。

出典

タイトルとURLをコピーしました