Joomlaセキュリティパッチ3.4.7

最近立て続けにセキュリティパッチがリリースされているJoomlaですが、早くも2015年12月21日セキュリティパッチ3.4.7が公開されました。(Joomla 3.4.6Joomla 3.4.5についての記事はこちら)

joomla-3-4

Sponsored link

セキュリティパッチ 3.4.7

今回のセキュリティパッチ3.4.7は、

  • 優先度高:セッションのセキュリティ強化(Joomla 1.5.0以上に影響あり)
  • 優先度低:SQLインジェクション(Joomla 3.0.0以上に影響)

の2点だそうです。最近のパッチと比べると深刻そうな感じはしません。

深刻なセキュリティホールが最近たくさん修正されていますが、修正されるものがある=悪いではなく、改善し続けている=良い、と捉えることにしています。

PHPコアのバグ

リリースノートに書いてあるように、今回の脆弱性はJoomlaコア自体というよりもPHPシステムの脆弱性によって起こっているそうです。

PHPの脆弱性自体は2015年9月に修正されているものだそうで、

  • PHP 5.4.45以上
  • PHP 5.5.29以上
  • PHP 5.6.13以上
  • PHP 7

では修正されていて、今回のJoomla 3.4.7のパッチはなくても大丈夫だそうです。レンタルサーバーでは細かいバージョンを変えられないので、入れておいたほうが良いですね。

私のサーバーも、PHP 5.4.39でしたので今回のパッチが必要なようです。PHPのバージョンは、サーバーのコントロールパネルから見られる他、Joomlaからも確認できます。

管理画面のシステム→システム情報で開いたタブの中にある「PHPのバージョン」もしくは「PHP情報」で表示されるバージョンが現在のPHPバージョンです。

PHP-version-in-Joomla