追記:より詳細の報告を公開しましたのでそちらを参照下さい CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) 追記終わり。 【概要】 PHP5.4.2で修正された脆弱性だが、直っていない。CGI版のみが影響を受ける。mod_phpやFastCGIによるPHP実行の場合影響なしとされる。 【影響】 ・PHPの実行時オプションが外部から指定されるその結果として以下の影響がある ・リモートのスクリプト実行(影響甚大) ・PHPソースの表示 【影響を受けるサイト】 ・PHPをCGIとして実行しているサイト(FastCGIは大丈夫らしい) 【回避策】 ・PHP本家の改修リリース(5.4.2など)は不十分な対策(PHP5.4.2でもリモートコード実行できることを確認済み) ・mod_rewriteによる回避策も不十分らしいが情報不足 ・FastCGIまたはmod_ph