5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

!【緊急】開発言語PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を

1 :TRONφ ★:2005/11/03(木) 11:44:13 ID:???0
 Hardened-PHP Projectは10月31日(現地時間),
オープンソースWebアプリケーション開発言語PHPの
深刻なセキュリティ・ホールを警告した。

リモートからPHPスクリプトを実行される
「今まで見つかった中でも最悪のセキュリティ・ホール。
全てのPHPユーザは今すぐ対処を行う必要がある」(日本PHPユーザー会 大垣靖男氏)。
PHP4の4.4.0以前のバージョン,PHP5の5.0.5以前のバージョンが影響を受ける。
対策はパッチを適用することなど。

 このセキュリティ・ホールは,ファイル・アップロードでグローバル・シンボル・テーブル$GLOBALSが
書き換えられることにより,リモートからPHPのスクリプトを実行される可能性があるというもの。
PHPの標準ライブラリであるPEARなどがこのセキュリティ・ホールにより攻撃される可能性がある。
そのほか「影響を付けるシステムやアプリケーションは数え切れないほど多い」
(Hardened-PHP Project)。
PHP 4.3.10以下は$_GET,$_POST,$_COOKIEのセキュリティ・ホールが存在しておりさらに危険という。

 対策は,PHPの場合4.4.1以上にアップグレードすること。PHP5の場合
「日本時間11月2日時点ではPHP5用のパッチまたは対策済みリリースは公開されていない」(大垣氏)。
大垣氏がPHP 5.0.4またはPHP 5.0.5用のセキュリティ・パッチを公開している。

 ただし,PHP4.4.xではソースコード埋め込み定数参照の仕様が変更されているため,
プログラムが動作しなくなる場合がある。大垣氏がPHP 4.3.11用のセキュリティ・パッチを公開している。

http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/

169 :TRONφ ★:2005/11/04(金) 20:15:33 ID:???0
常時age

170 :名無しさん@6周年:2005/11/04(金) 20:21:43 ID:0Bun9cpP0
漏まいら、そんなに心配ならhttpd chrootしれ

171 :名無しさん@6周年:2005/11/04(金) 20:22:18 ID:m+wfF9bOO
>>166
踏み台にされてしまうかもしれんから
直すのがよいと思われ。

特にp2はPEAR使ってるし

172 :168:2005/11/04(金) 20:24:21 ID:izMPuH/V0
なんか違う気もするけどソースはたぶんこれだな
ttp://www.cobaltqube.org/ml/archive/coba-d/20030202.week/5107.html

共用サーバーで開発している方々はどうするんかね・・


173 :TRONφ ★:2005/11/04(金) 20:52:06 ID:???0
age

174 :名無しさん@6周年:2005/11/04(金) 21:02:29 ID:tL3GEdf+0
共用サーバ(WebARENA)でregister_globals=onなんだが、$GLOBALSは使ってない。
これってどう対処したらいいんだ?

175 :名無しさん@6周年:2005/11/04(金) 21:06:20 ID:bW76/IBZ0
>>174
suite2ならPHP自体をアップデートするらしいから放っておけば。
さっき案内が来たよ。


176 :名無しさん@6周年:2005/11/04(金) 21:07:02 ID:8cF97rOG0
xoopsはどうすれば?


177 :名無しさん@6周年:2005/11/04(金) 21:16:00 ID:izMPuH/V0
>>175
それで安心してしまうとアカンような気がするね
次のセキュリティホールが見つかったとき・・

178 :名無しさん@6周年:2005/11/04(金) 21:19:42 ID:tL3GEdf+0
>>175
ほんとだ、サンキュ

179 :名無しさん@6周年:2005/11/04(金) 21:31:07 ID:bW76/IBZ0
>>178
でも、どのみち新バージョンに合わせて全スクリプトの精査しなきゃならんけど…orz

180 :158:2005/11/04(金) 22:47:01 ID:pX9kw8yN0
>>159
試したよ。
望みどおり、multipart/form-dataなRequestだけ排除できたよん。
これで、ソース書き換えの間の時間稼ぎになればと。
ありがとうございました。

181 :163:2005/11/04(金) 22:57:11 ID:Kp52kz2h0
>>168

うわっ、こんなに懇切丁寧なレス頂くとは。
現実逃避の為に一日中開発に没頭してましたが重い腰あげてみます。
でもうちってテスト環境もねーからとりあえずraQ550もう一台確保するところからっス。
orz
でも情報感謝です。
ほうとに(・∀・) ありがとう!!

182 :TRONφ ★:2005/11/04(金) 23:00:04 ID:???0
age

183 :名無しさん@6周年:2005/11/04(金) 23:33:23 ID:IM+he6x90
うちのとこは今日はソースの書き換えを行って、明日から二日間でテスト。
まあ、半日もあれば終わるだろうけど。ちょうど休みの間の平日で通常業務も少なかったから
運がよかったみたい。

184 :名無しさん@6周年:2005/11/04(金) 23:37:59 ID:bwc0jBB60
出版社じゃないのか

185 :TRONφ ★:2005/11/05(土) 00:59:00 ID:???0
age

186 :名無しさん@6周年:2005/11/05(土) 01:21:23 ID:jwOf9Ba00
けっこういるんだな。
おれはバージョン上げたときに全部書き直しておいた。
メンテが楽だからと当然のように主張したぞ。あり組自慢。

187 :名無しさん@6周年:2005/11/05(土) 09:05:32 ID:EMcV3fkE0
だいぶ落ち着いてきたかな?

この土日がなくなった人、手を上げて〜  ノシ

188 :名無しさん@6周年:2005/11/05(土) 09:08:37 ID:64UX/26e0
(´・ェ・`)ノシ

189 :名無しさん@6周年:2005/11/05(土) 09:12:56 ID:LB0ru6/X0
t

190 :名無しさん@6周年:2005/11/05(土) 09:18:56 ID:IYDk4+DOO
意味わからん。
俺にはきっと関係ない。
1しか読んでないけど

191 :名無しさん@6周年:2005/11/05(土) 09:23:43 ID:EejKYwA+0
こういうのってここに載せるような記事なわけなんだろうか?
しかも下がってるのを>>1がアゲるのもどうかと思うよ。

192 :名無しさん@6周年:2005/11/05(土) 09:28:42 ID:T9togl5r0
redhat9用にrpm作ってくれないかな。

193 :名無しさん@6周年:2005/11/05(土) 09:31:09 ID:rMYiMiqp0
Java の方が扱いやすいよ。PHPって生産性よくない希ガス。

194 :名無しさん@6周年:2005/11/05(土) 09:34:49 ID:ekaoy/mYO
PHP文庫でハァハァしながらオナホでフィニッシュする俺は最悪ですかそうですか。

195 :名無しさん@6周年:2005/11/05(土) 10:43:58 ID:EMcV3fkE0
セキュリティに対する危機感持ってるヤツ少ないな
みんな個人情報とかは扱ってないのかな?


196 :名無しさん@6周年:2005/11/05(土) 11:00:51 ID:vmBzc3Br0
>>193
JDKビルドの際になぜか必ずコンパイルエラーが出る。

CPUがP54C-133なのが問題なのかっ!

197 :名無しさん@6周年:2005/11/05(土) 11:14:35 ID:ZItdZ1D50
うちのサイトのアクセスログみるとp2から来てるのが
結構居るんだよな。
おまいらちゃんと対策しておけよ

198 :名無しさん@6周年:2005/11/05(土) 11:36:58 ID:64UX/26e0
とりあえず、PHP 4.4.1にあげた。
でもregister_globals=onなので、スクリプトもなおしていかないとな〜

199 :名無しさん@6周年:2005/11/05(土) 12:31:06 ID:Of8JEb1R0
これってOSX標準のPHPも影響あるんだよ・・・ね?

200 :名無しさん@6周年:2005/11/05(土) 12:31:11 ID:IhZ/96Pv0
3.3.11パッチあてるか4.4.1にまで上げたのならregister_globals=onでも良いんじゃねーの?

201 :名無しさん@6周年:2005/11/05(土) 14:16:05 ID:EMcV3fkE0
>>200
そうね、でも4.4.1はメール周り(mb_send_mail, mb_encode_mimeheader)がダメ
4.3.11用patchは未検証と、悩ましいよね

今のところ問題は出てないようなので4.3.11+patchが正解かな?
誰か当てて問題なく運用しているっていう人いる?

202 :名無しさん@6周年:2005/11/05(土) 14:57:31 ID:YFTKt0cI0
確かPHP 4.3.11 には mb_detect_encoding/mb_convert_encoding に問題があったはず。

[PHP-users 25298]
ttp://ns1.php.gr.jp/pipermail/php-users/2005-April/025814.html

PHP 4.3.11にするなら、ついでにこの問題に対するpatchを適用しておいた方が安全かも。
ttp://cvs.php.net/diff.php/php-src/ext/mbstring/libmbfl/mbfl/mbfilter.c?r1=1.1.2.6&r2=1.1.2.7&ty=u

203 :名無しさん@6周年:2005/11/05(土) 15:12:10 ID:EMcV3fkE0
>>202
はぁ、複雑すぎよね。安心して使えるバージョンはまだかな。。。

じゃあ4.3.11を利用するときには、
今回のセキュリティホール用パッチとmb_(detect|convert)_encodingパッチを当てて利用ってことで。

204 :名無しさん@6周年:2005/11/05(土) 15:30:51 ID:IhZ/96Pv0
4.4.1まで上げて、mb_send_mailまわりは自力変換かjcode.phpあたりでラッパー関数作るか。
4.4.0から定数参照の仕様が変わったとかもあるんだっけな、参照引数に直接値渡してないか
全部調べるのめんどくせーなぁ…
標準関数なんてどれが参照渡しなのか把握してねーよ…

205 :名無しさん@6周年:2005/11/05(土) 17:18:11 ID:64UX/26e0
mb_send_mail 、うちでは大丈夫だったなぁ。

これがだめだった。
$subject = i18n_mime_header_encode(mb_convert_encoding($subject "JIS", "EUC-JP"));
mail($mail_to, $subject $honbun, $mail_from);

なぜか subject が ISO-2022-JP じゃなく UTF-8 になってた。


206 :名無しさん@6周年:2005/11/05(土) 17:50:32 ID:TT9Lf0GR0
4がでても、mbまわり不安だったので、今だに3.0.18-ja のままです。

207 :名無しさん@6周年:2005/11/05(土) 19:43:14 ID:wVraGpA70
4.4.2 Devってどこにある?

208 :名無しさん@6周年:2005/11/06(日) 08:38:13 ID:xBPNip1b0
初心者向けで分かりやすい
http://www.pahoo.org/e-soul/webtech/php01/php02-01.shtm


209 :名無しさん@6周年:2005/11/06(日) 08:45:30 ID:t5OEgdqp0
しかしなんだな、
ニュー速にはプログラマが多いと言うことか?

210 :名無しさん@6周年:2005/11/06(日) 10:58:17 ID:qcEwmEtC0
逆にWebProg板はこっちに誘導するようなクズばっかなんだよな

211 :名無しさん@6周年:2005/11/06(日) 11:13:11 ID:fPjEzqZE0
まずいバージョンでregister_globals=onで、
複数の企業がユーザのサイトだけど、
こんな問題放置だよ。
だって修正費用安いから。
一度全データハッキングされねえかな?と思ってるんだけどな。

212 :名無しさん@6周年:2005/11/06(日) 19:07:07 ID:AwQlRPUO0
(ノ∀`)アチャ-今知った
register_globalsはOffだったけど、
本家だけじゃなく日本PHPユーザ会もお参りしないとダメですね。
Cの頃は結構グローバル使ってたよ。

213 :名無しさん@6周年:2005/11/06(日) 23:11:16 ID:MyXFFS9y0
オープンソースとか、名が知れたスクリプトを使ってないサイトじゃ、攻撃するにしても変数名一つ探り当てるにも膨大な手間と推理が必要じゃね?
実際のとこ、自分で書いたスクリプトだったらまず安心だな。


214 :名無しさん@6周年:2005/11/07(月) 01:27:46 ID:YDoCNglk0
http://ns1.php.gr.jp/pipermail/php-users/2005-November/027861.html
これに対してエラい人が「間違ってる」って言わないってことは

>この結果を見る限り、(register_globals=offを前提で)プログラム
>中で$GLOBALS配列を使っていない限り、影響は受けないのかなぁ。。。

これは的を得てるってことなんかな?

215 :名無しさん@6周年:2005/11/07(月) 02:21:54 ID:s+oGOyZG0
大垣氏が公開してるって・・・
会長がパッチ作るユーザ会って廃れてる印象すら受けるな

216 :名無しさん@6周年:2005/11/07(月) 09:19:10 ID:zwKM55sg0
本家の対応が遅すぎるだけな気もするが。。。

217 :名無しさん@6周年:2005/11/07(月) 11:27:46 ID:rurFgWQk0
このセキュリティ・ホールを突かれたかどうかって、どうやって
判断できますか?
アクセスログとかでわかります?

218 :名無しさん@6周年:2005/11/07(月) 14:22:14 ID:/1sPr2nf0
xreaは共用鯖なのに4.4.2-dev入れてるのか。ある意味チャレンジャーだな。

39 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)