先日、PHP 7.3.10 以前にリモートコード実行の脆弱性が報告され、修正バージョンである PHP 7.3.11 がリリースされました。このバージョンは、脆弱性の修正を目的としたセキュリティリリースと位置づけられています。PHPのアップデート内容および脆弱性の詳細については、以下のサイトをご参照ください。

• PHP 7.3.11 Released | PHP: Hypertext Preprocessor（英文）
• PHPにリモートコード実行の脆弱性、アップデートを | マイナビニュース（英文）

Movable Type クラウド版 の環境では、脆弱性の条件を満たしていないため直ちに危険ではありませんが、アップデートが推奨されているため、予防的にアップデートを行いました。

Movable Type クラウド版

自動アップデートを有効にされているすべてのお客様の環境で、脆弱性が修正された PHP 7.3.11 にアップデートが完了しています。本アップデートに基づく、お客様の作業はございません。
※ 自動アップデートは初期設定では有効です。意図的に無効にされている場合を除き、アップデートが実施されています。

Movable Type for AWS / Movable Type Advanced for AWS

Movable Type for AWS / Movable Type Advanced for AWS で利用している Amazon Linux では、すでに対策済みのパッケージが配布されています。

• ALAS-2019-1315

すでに稼働中のインスタンスでは、お客様自身でアップデートをお願いいたします。

Movable Type for AWS が稼働するインスタンス上で、次のコマンドを実行してください。

  $ sudo yum update php-fpm   (Amazon Linux 2 の場合)
  $ sudo yum update php56-fpm    (Amazon Linux 1 の場合)

上記のアップデートで、今回の脆弱性に対しての修正が行われます。php-fpm サービスが停止した場合には、必要に応じて起動してください

  $ sudo systemctl start php-fpm     (Amazon Linux 2 の場合)
  $ sudo /etc/init.d/php-fpm start    (Amazon Linux 1 の場合)