Nov 09, 2005
PHP&アプリケーション・セキュリティについてはズブの素人ゆえ、このエントリをSecurityに書くのもおこがましいんですが、先月来 PHP に複数の脆弱性が発見され、一部IT系メディアで騒ぎになりました。(Ketzerさん、ありがとうございます)
これらは、XML-RPC for PHP1.1.1以降、PHP4.4.x以降にそれぞれバージョンアップすれば回避できます。PHP5にはPatchが公開済み。なお、ラミーのWikiで用いているPukiWikiについては、下記XSS脆弱性の件もあってファイルアップロードを利用しない設定を推奨してたので、それに数ヶ月前から従ってました。それゆえ、さほど危急の事態ではないとひとまず判断しホスティング業者に対策を任せることにしました。セキュリティホールmemo
XML-RPC for PHP Vulnerability Attack
→この欠陥を使ったワームが11月6日(日)に出た
PHP 4.x / 5.x に、致命的なものを含む複数の欠陥
→phpinfo() に XSS(クロスサイトスクリプティング)の欠陥あり
→parse_str() の使い方次第ではリクエスト処理時中断が発生。変数の1つが変わってしまう。
→ファイルアップロード機能に欠陥。POSTメソッドで$GLOBALS配列を上書きすることができる。
11月3日~4日にかけ、私の利用しているホスティング業者によりバージョンアップが行われたため、現在は動作には問題なし。つつがなく対策完了、、、、ですが、MLに報告を上げた某氏と、私の今の姿が重なるんだよなぁ。JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
複数の Wiki クローン実装のファイル添付機能において、クロスサイトスクリプティングにつながる脆弱性が存在します。これにより、Wiki 利用者のブラウザ上で任意のスクリプトが実行される可能性があります。
人の振り見て・・・って奴ですね。気をつけねば。最近セキュリティ関係と は縁遠い仕事で、MLなども届くものをそのまま未読としておいたほどなので、既報かどうかは不明です。
