PHPをアップデート with PHPA

PHPに深刻な脆弱性が見つかっていたのでPHPをアップデートしました。今回見つかった脆弱性はなかなかに盛りだくさんですね。

PHPに深刻なセキュリティ・ホール，リモートからコードを実行される : IT Pro ニュース

(1)pack()関数のヒープ・オーバーフローにつながる整数オーバーフロー，(2)ヒープ情報漏えいにつながるunpack()関数の整数オーバーフロ，(3)マルチスレッドでのsafe_mode_exec_dirバイパス，(4)safe_modeでのパスのアクセス制限バイパス，(5)realpath()関数でのパスアクセス制限の問題，(6)ネガティブ・リファレンスでのunserialize()の処理の問題，(7)解放されたデータへの参照のunserialize()の処理の問題

最近、PHPを使って動かしているものも増えてきたので、互換性のチェックをするだけで一苦労になってきました。互換性のチェックで不具合があったことはこれまでほとんどなかったのですが、今回だけは少し苦戦してしまいました。

† Nucleusが動作不能に

アップデートしたら突然Nucleusのプラグインがうまく動作しなくなってしまいました。ネットで探してもそのような非互換の報告は見つけられないので、ウチだけの特殊現象のようでした。

うちのサーバにはionCube PHP Accelerator(PHPA)というフリーの高速化モジュールをインストールしているという特殊事情があったので、これを無効化してみたところ正常に稼動するようになりました。

ひとまずこれで一件落着だったのですが、しばらく海外のサイトを検索しているとPHPAがPHP4.3.10に対応していないわけではなく、生成されたキャッシュに互換性がないだけで、キャッシュを削除すれば大丈夫という感じの書き込みがあるのを見つけました。

ということで、キャッシュを削除^*1した後、PHPAを有効にしたところ、正常に稼動するようになりました。キャッシュを消せば大丈夫って言うのが意外に盲点でした。

• ^*1: rm -f /tmp/phpa*