先日、PHP 7.3.10 以前にリモートコード実行の脆弱性が報告され、修正バージョンである PHP 7.3.11 がリリースされました。このバージョンは、脆弱性の修正を目的としたセキュリティリリースと位置づけられています。PHPのアップデート内容および脆弱性の詳細については、以下のサイトをご参照ください。
Movable Type クラウド版 の環境では、脆弱性の条件を満たしていないため直ちに危険ではありませんが、アップデートが推奨されているため、予防的にアップデートを行いました。
Movable Type クラウド版
自動アップデートを有効にされているすべてのお客様の環境で、脆弱性が修正された PHP 7.3.11 にアップデートが完了しています。本アップデートに基づく、お客様の作業はございません。
※ 自動アップデートは初期設定では有効です。意図的に無効にされている場合を除き、アップデートが実施されています。
Movable Type for AWS / Movable Type Advanced for AWS
Movable Type for AWS / Movable Type Advanced for AWS で利用している Amazon Linux では、すでに対策済みのパッケージが配布されています。
すでに稼働中のインスタンスでは、お客様自身でアップデートをお願いいたします。
Movable Type for AWS が稼働するインスタンス上で、次のコマンドを実行してください。
$ sudo yum update php-fpm (Amazon Linux 2 の場合)
$ sudo yum update php56-fpm (Amazon Linux 1 の場合)
上記のアップデートで、今回の脆弱性に対しての修正が行われます。php-fpm サービスが停止した場合には、必要に応じて起動してください
$ sudo systemctl start php-fpm (Amazon Linux 2 の場合)
$ sudo /etc/init.d/php-fpm start (Amazon Linux 1 の場合)