PHP核心執行環境稽核揭露多項漏洞，衝擊PHP-FPM與加密模組安全性[轉載自IThome]

PHP核心執行環境完成安全稽核，揭露17項具風險漏洞，涵蓋PHP-FPM與加密模組，官方已修補並建議開發者升級版本。

文/李建興 | 2025-04-16發表

PHP核心原始碼php-src近期完成由Quarkslab執行的安全性稽核，揭露多項高風險與中度風險漏洞，影響範圍涵蓋PHP-FPM、MySQL驅動與OpenSSL等關鍵模組。該稽核由Sovereign Tech Agency出資，透過開源技術改進基金會（OSTIF）協調，並獲得PHP基金會全力配合，進一步改善即將發布的PHP 8.4版本安全性。

本次稽核重點在於php-src中最具風險的模組與流程，範圍包含手動程式碼審查、動態測試與加密層面的評估。Quarkslab依據PHP基金會與OSTIF共同定義的威脅模型，對PHP-FPM主從架構、JSON解碼、MySQL原生驅動、表單上傳處理、PDO模擬預處理陳述式與密碼雜湊相關元件進行深入分析。整體稽核歷時兩個月，涵蓋靜態與動態分析流程，包括針對特定高風險模組開發模糊測試工具，並測試其在oss-fuzz環境下的表現。

稽核結果共發現27項問題，其中17項具有安全性風險，包含3項高風險、5項中度風險與9項低風險問題，另有10項屬於資訊性弱點。多數問題已在GitHub安全通報揭露，另有兩項尚未公開之高風險漏洞仍在修補中，預計於修正完成後正式公布。已公布的CVE包含CVE-2024-8929，指出MySQL驅動可能透過惡意伺服器觸發堆積緩衝區過讀（Over-Read），洩露先前請求內容；CVE-2024-9026涉及PHP-FPM日誌訊息潛在竄改風險；CVE-2024-8925為表單資料解析錯誤，可能導致誤解資訊；CVE-2024-8928則為記憶體管理異常可能造成記憶體區段錯誤。

PHP-FPM因其長時間在同一程序中執行多個請求，對於記憶體與資源管理的要求格外嚴格，本次稽核特別指出其在UID/GID處理、工作程序日誌管理與表單資料解析方面存在安全風險。另一方面，OpenSSL與libsodium整合部分，則發現數項與起始向量（Initialization Vector，IV）處理、金鑰長度、簽章錯誤行為與文件缺失相關的潛在問題，反映出加密模組在預設參數與使用者行為落差間仍有可改進空間。

Quarkslab在報告中肯定PHP核心程式碼整體品質良好，結構一致且符合設計規範，並強調此次發現的多數問題並非源自設計漏洞，而是實作細節與錯誤處理不足所致。PHP基金會也已依稽核建議進行修正，並表示未來將持續改善安全測試流程與靜態分析工具整合，強化持續整合環境下的自動防禦機制。

此次稽核雖受限於預算僅涵蓋關鍵模組，官方仍希望未來能透過社群或企業贊助，擴大涵蓋整體程式碼基礎，持續強化PHP的安全性與穩定性。稽核報告全文目前已公開，包含所有細項發現與修正建議，開發者可前往OSTIF網站或PHP基金會官方頁面下載閱讀。