今更ですが、PHP v5.4.28 または v5.5.12以降で必要になる(人もいる)PHP-FPMの設定です。

PHP v5.4.28 と v5.5.12での修正点

PHP v5.4.28, v5.5.12 では、CVE-2014-0185 に対するパッチが当てられており、PHP-FPMで使用されるソケットファイルのデフォルトパーミッションが666から660に変更されています。ですので、運用環境によっては、WebサーバがPHP-FPMのソケットファイルにアクセスできなくなり、今まで問題なく動いていたWebサイトがエラーで見られなくなることになります。

必要になる設定

対応策は簡単で、PHP-FPMの設定ファイル内にある listen.owner や listen.group に、Webサーバからアクセスできるような所有者・所有グループを設定するだけです(この設定が、ソケットファイルの所有者・所有グループになります)。その後で PHP-FPMを再起動して下さい。

設定例

; ソケットファイルの所有者をセットします。Linuxの場合、read/writeの権限がセットされます。
listen.owner = nginx
; ソケットファイルの所有グループをセットします。Linuxの場合、read/writeの権限がセットされます。
listen.group = nginx

参考

• PHP: Configuration - Manual
  • http://www.php.net/manual/en/install.fpm.configuration.php

関連リンク

• PHP :: Sec Bug #67060 :: sapi/fpm: possible privilege escalation due to insecure default configuration
  • https://bugs.php.net/bug.php?id=67060
• PHP :: Bug #67060 :: Patches
  • https://bugs.php.net/patch-display.php?bug_id=67060&patch=mode660&revision=latest
• PHP 5.4.28 ChangeLog
  • http://www.php.net/ChangeLog-5.php#5.4.28
• PHP 5.5.12 ChangeLog
  • http://www.php.net/ChangeLog-5.php#5.5.12
• NVD - Detail
  • http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0185

[最終更新日時: 2014年6月8日]

※ 2014年6月8日：v5.5.12について追記しました。