プラットフォーム
php
コンポーネント
php
修正版
7.3.32
7.4.25
8.0.12
CVE-2021-21703は、PHP-FPM環境において、権限昇格を許してしまう脆弱性です。この脆弱性を悪用することで、ローカルの権限のないユーザーがrootユーザーに昇格する可能性があります。影響を受けるバージョンは7.3.0から8.0.12です。この問題はバージョン8.0.12で修正されました。
CVE-2021-21703 は、PHP FPM (FastCGI Process Manager) の特定のバージョンに影響を与える特権昇格の脆弱性です。PHP FPM サーバーが、メインのデーモンプロセスを root として実行し、子ワーカープロセスをより低い特権で実行するように構成されている場合、ローカルの攻撃者はこの脆弱性を悪用する可能性があります。この脆弱性は、子プロセスが root プロセスと共有メモリにアクセスし、それを変更する方法にあります。これにより、root の特権で任意のコードを実行できるようになります。影響を受けるバージョンには、PHP 7.3.x ~ 7.3.31、7.4.x の 7.4.25 未満、および 8.0.x の 8.0.12 未満が含まれます。CVSS の深刻度は 7.8 で、高いリスクを示しています。この脆弱性は、複数のユーザーが同じサーバーを共有する共有ホスティング環境で特に懸念されます。
CVE-2021-21703 の悪用には、システムへのローカルアクセスが必要です。攻撃者は、影響を受けるシステムでコードを実行できる必要があります。この脆弱性は、PHP FPM の子プロセスが root プロセスと共有メモリを操作する能力に基づいています。これは、PHP FPM が共有メモリを処理する方法を利用するペイロードを作成することで実現できます。これにより、攻撃者は通常アクセスできないメモリ領域にデータを書き込むことができます。悪用の複雑さは、特定のシステム構成と使用されるペイロードによって異なる場合があります。KEV (Kernel Exploitability Vulnerability) がないことは、この脆弱性がカーネルレベルで簡単に悪用できるとは見なされていないことを示していますが、特権昇格のために依然として重大なリスクとなります。
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CVSS ベクトル
CVE-2021-21703 の主な軽減策は、脆弱性を修正した PHP バージョンにアップグレードすることです。影響を受けるバージョンは、PHP 8.0.12 以降、PHP 7.4.25 以降、および PHP 7.3.31 以降です。直ちにアップグレードできない場合は、PHP FPM を root として実行しないなどの一時的な対策を検討してください。これには、メインのデーモンプロセスを実行するユーザーを、制限付きの特権を持つユーザーに変更することが含まれます。PHP FPM の構成を調べて、脆弱性の悪用のリスクを高める可能性のある不要な設定がないことを確認することも重要です。侵入検知システム (IDS) を実装すると、悪用の試行を特定するのに役立ちます。
Actualice a PHP versión 7.4.25 o superior, o a la versión 8.0.12 o superior. Esto corrige la vulnerabilidad que permite la escalada de privilegios.
脆弱性分析と重要アラートをメールでお届けします。
PHP FPM (FastCGI Process Manager) は、PHP のプロセスマネージャーであり、他の PHP 実行方法と比較してパフォーマンスとセキュリティを向上させます。
はい、通常は Apache や Nginx などの Web サーバーと PHP FPM サービスをアップデート後に再起動する必要があります。
PHP をすぐにアップデートできない場合は、一時的な対策として PHP FPM を root 以外のユーザーとして実行することを検討してください。ただし、これによりパフォーマンスと互換性に影響を与える可能性があります。
コマンドラインで php -v コマンドを実行すると、PHP のバージョンを確認できます。
NVD (National Vulnerability Database) や PHP の Web サイトで、CVE-2021-21703 についてより詳しい情報を入手できます。