!【緊急】開発言語PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を

このエントリーをはてなブックマークに追加
1TRONφ ★
 Hardened-PHP Projectは10月31日(現地時間),
オープンソースWebアプリケーション開発言語PHPの
深刻なセキュリティ・ホールを警告した。

リモートからPHPスクリプトを実行される
「今まで見つかった中でも最悪のセキュリティ・ホール。
全てのPHPユーザは今すぐ対処を行う必要がある」(日本PHPユーザー会 大垣靖男氏)。
PHP4の4.4.0以前のバージョン,PHP5の5.0.5以前のバージョンが影響を受ける。
対策はパッチを適用することなど。

 このセキュリティ・ホールは,ファイル・アップロードでグローバル・シンボル・テーブル$GLOBALSが
書き換えられることにより,リモートからPHPのスクリプトを実行される可能性があるというもの。
PHPの標準ライブラリであるPEARなどがこのセキュリティ・ホールにより攻撃される可能性がある。
そのほか「影響を付けるシステムやアプリケーションは数え切れないほど多い」
(Hardened-PHP Project)。
PHP 4.3.10以下は$_GET,$_POST,$_COOKIEのセキュリティ・ホールが存在しておりさらに危険という。

 対策は,PHPの場合4.4.1以上にアップグレードすること。PHP5の場合
「日本時間11月2日時点ではPHP5用のパッチまたは対策済みリリースは公開されていない」(大垣氏)。
大垣氏がPHP 5.0.4またはPHP 5.0.5用のセキュリティ・パッチを公開している。

 ただし,PHP4.4.xではソースコード埋め込み定数参照の仕様が変更されているため,
プログラムが動作しなくなる場合がある。大垣氏がPHP 4.3.11用のセキュリティ・パッチを公開している。

http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/
2名無しさん@6周年:2005/11/03(木) 11:44:32 ID:pPR65LQ80
3●バーナーたん:2005/11/03(木) 11:44:36 ID:2fhBwFzn0
一等自営業阻止
4名無しさん@6周年:2005/11/03(木) 11:45:33 ID:cNx7YsKh0
また松下幸之助か!
5名無しさん@6周年:2005/11/03(木) 11:45:48 ID:7lNBBNBJ0
ソニー、シマンテックと共謀しウィルス散布、F-Secure社員が感染し発覚
http://news19.2ch.net/test/read.cgi/news/1130905571/
6名無しさん@6周年:2005/11/03(木) 11:46:12 ID:27poaYMK0
PHPってんなに?
7名無しさん@6周年:2005/11/03(木) 11:46:40 ID:dfRfagSJ0
>5
8名無しさん@6周年:2005/11/03(木) 11:46:48 ID:wFNXmll00
PHPってパナソニックのことか?
9名無しさん@6周年:2005/11/03(木) 11:47:48 ID:6dv0dav/0
自鯖のPHPアップデートしなきゃ駄目か。万度草。
CMS使ってれば、自動的にアップデートしてくれないのかな。
10名無しさん@6周年:2005/11/03(木) 11:48:34 ID:3OONoJzT0
ありゃ、こりゃ明日は忙しくなりそうだな。
11名無しさん@6周年:2005/11/03(木) 11:49:45 ID:9h2HFLqT0
こんどはPHPか
12名無しさん@6周年:2005/11/03(木) 11:50:45 ID:dfRfagSJ0
P ペニス
H ヒップ
P ペニス
13名無しさん@6周年:2005/11/03(木) 11:51:59 ID:pgUS9Bc70
PHP?
自己啓発のやつ?
14名無しさん@6周年:2005/11/03(木) 11:54:44 ID:9h8tjWtK0
文句あるなら新しい言語でも作ってみろ下手くそ。
15名無しさん@6周年:2005/11/03(木) 11:55:38 ID:UjxmlliT0
>6
PHP Hypertext Preprocessorの略だよ
↑のPHPもPHP Hypertext Preprocessorの略
        ↑のPHPもPHP Hypertext Preprocessorの略
                ↑のPHPもPHP Hypertext Preprocessorの略
                        ↑のPHPもPHP Hypertext Preprocessorの略
                                ↑のPHPもPHP Hypertext Preprocessorの略
                                        ↑のPHPもPHP Hypertext Preprocessorの略
                                            
                
16名無しさん@6周年:2005/11/03(木) 11:56:35 ID:oZ+oII/Q0
鯖管がんばれ〜
おれの会社は開発だけで鯖はタッチしないから見てるだけ〜
でも動作テストは依頼されそうだな〜
まんどくせ〜
糞忙しい時期に〜
まんどくせ〜
17名無しさん@6周年:2005/11/03(木) 11:59:35 ID:BCei+Yw20
だからASPにしろとあれほど
18名無しさん@6周年:2005/11/03(木) 12:00:31 ID:eRqdMCyl0
これはプログラマーにはどうしようもないわな
19名無しさん@6周年:2005/11/03(木) 12:04:21 ID:8hwBwgeb0
>>15
GNUは?
20名無しさん@6周年:2005/11/03(木) 12:07:35 ID:3ZrpWjKa0
isapiつかえ
21名無しさん@6周年:2005/11/03(木) 12:09:00 ID:iocLHdog0
22名無しさん@6周年:2005/11/03(木) 12:09:52 ID:b6/YhUwp0
休出してPHP開発してる最中だったのに・・・orz
23名無しさん@6周年:2005/11/03(木) 12:13:32 ID:KyBLVenf0
やっぱ、開発者人口が多いソフトの方がいいな。
24名無しさん@6周年:2005/11/03(木) 12:14:10 ID:6dv0dav/0
インターネット時代においては、ソフトウエアクライシスの発生率は一年ごとに倍増し
それに比例して対応コストも増大する。

                           ―― ノースウエストの法則 ――
25名無しさん@6周年:2005/11/03(木) 12:24:08 ID:NUzC1umb0
研究所の編集者のオツムに、セキュリティ・ホールがあったって話し?
26名無しさん@6周年:2005/11/03(木) 12:26:10 ID:L/HIs6tT0
研究所ネタはもういいよ
27名無しさん@6周年:2005/11/03(木) 12:27:12 ID:f87aaE6x0
416:09/01(木) 00:05 PyDOJVgL0 [sage]
なんか大量削除されてるけど
アレって間違いなく本人だよね!
背の高さ、肩幅(肩甲骨、鎖骨)、鼻・耳の形、八の字眉…
一つだけ気になる点があるけど、それを除けば同一人物と
断定できるよ!
見かけに反して情熱的なところが(・∀・)イイ!!
http://whatever.say.jp/program/snap_shot/site/11295967618453/index.html
zeppin17/001.html
zeppin17/car.mpg
28名無しさん@6周年:2005/11/03(木) 12:27:47 ID:/iQR/2FT0
マ板じゃなくてニュー速に立ったのが災いしてるな・・・

↓↓↓↓↓↓↓以下PHP研究所・松下幸之助禁止↓↓↓↓↓↓↓
29名無しさん@6周年:2005/11/03(木) 12:48:50 ID:Bg33IMrY0
>>19
GNU is Not Unix
↑ (ry
30名無しさん@6周年:2005/11/03(木) 12:52:56 ID:h2OBk2gR0
4.4以前って、4.4も含まれるってことだよね? 念のためだけど。
31名無し屋さん ◆77483qp02s :2005/11/03(木) 13:01:08 ID:EesVy3m10
なんてこった!!!!!!!!!!!1
32名無しさん@6周年:2005/11/03(木) 13:25:09 ID:qdAiWx6f0
あらま
33名無しさん@6周年:2005/11/03(木) 13:27:44 ID:pQ256kOb0
P・H・P!
P・H・P!
34名無しさん@6周年:2005/11/03(木) 13:58:41 ID:Yg9ggjS10
自鯖でPHPビルドすると余裕で1時間かかるお(;^ω^)
35名無しさん@6周年:2005/11/03(木) 14:16:39 ID:xLIVzrYc0
また富士通か!
36名無しさん@6周年:2005/11/03(木) 14:24:52 ID:asoZcSot0
PSPなら知ってる。
37名無しさん@6周年:2005/11/03(木) 14:37:20 ID:ka0ovnmR0
言語仕様がころころ変わるPHPか
38名無しさん@6周年:2005/11/03(木) 14:39:23 ID:q8dg4v9GO
>>1

禿同。もってて良かったPHP
39名無しさん@6周年:2005/11/03(木) 15:14:50 ID:FfW4dA030
>>34
おいらも今ビルド始めたお
40名無しさん@6周年:2005/11/03(木) 15:20:59 ID:4C1mBipr0
未確認情報ですが、

PHPUsers-MLによると、

register_globals = off
変数$GLOBALSを使っていない

を満たせば、問題無いとの話が出ています。

とりあえず続報を待ちましょう

4.4.*には色々と問題があるようです
(mb_send_mailとかに)
41森の妖精さん:2005/11/03(木) 15:32:03 ID:6TeRw2OF0
正直、無駄に騒ぎすぎ。
42名無しさん@6周年:2005/11/03(木) 15:33:41 ID:6icKCn1b0
>>3
(-@∀@)<だが、心配のしすぎではないか
43名無しさん@6周年:2005/11/03(木) 15:35:07 ID:r4ZexmgP0
PHPなんてダサい言語つかってるからだよ。時代はPerlだろw
44名無しさん@6周年:2005/11/03(木) 15:38:57 ID:4C1mBipr0
register_globals = on じゃなきゃ動かない
OSCommerceとか死亡だな
45名無しさん@6周年:2005/11/03(木) 15:39:13 ID:lq889KLq0
.NETなんか使ってゲイシへの献金に禿げんでる香具師らは、フリーの
開発言語やDBのことわからんだろ。 だからPHPも知らない。
46名無しさん@6周年:2005/11/03(木) 15:40:58 ID:CLOVZ+rdO
何を言っているのか全く分からない。
47名無しさん@6周年:2005/11/03(木) 15:53:17 ID:T0t3YS/Y0
pukiwikiのためだけにphpを使ってる
48森の妖精さん:2005/11/03(木) 15:53:19 ID:6TeRw2OF0
>>44
たしかに、どこから引数が来てるのかわからないようなプログラムは
恐いな。getでもpostでもごっちゃになってるから。
49名無しさん@6周年:2005/11/03(木) 15:55:09 ID:7qvfuIft0
Red Hat のRPMがまだ出ねえ
困るんだよ実に さっさとしてくれ
50名無しさん@6周年:2005/11/03(木) 15:56:48 ID:8aK4UkrK0
register_globals = offだけど、書き換えるの面倒だから
全部
extract($_REQUEST);
extract($_SERVER);
ってなってる。
ヤバイ?
51名無しさん@6周年:2005/11/03(木) 15:56:56 ID:WDvW/Av+0
PEAR.php使ってたらアウト!
52名無しさん@6周年:2005/11/03(木) 15:57:58 ID:CTU7XnsR0
Perlは偉大なり
53名無しさん@6周年:2005/11/03(木) 16:00:31 ID:fgPeIZhb0
うわ悲惨。
54名無しさん@6周年:2005/11/03(木) 16:06:26 ID:GRpa3zURO
PHPって飯食えるの?
鯖管でいい転職先ないかなぁ。
Perlのほうが好きなんだけど。
55名無しさん@6周年:2005/11/03(木) 16:25:14 ID:4C1mBipr0
>>54
食えるよ
現にフリーで食ってるよ
56名無しさん@6周年:2005/11/03(木) 16:30:32 ID:1VlCie+E0
>>40
mb_send_mailに不具合あるってマジ?
4.4.1にしたから気になる
テストした限りでは問題なく動作してるけど
57名無しさん@6周年:2005/11/03(木) 16:34:04 ID:4C1mBipr0
58名無しさん@6周年:2005/11/03(木) 16:37:42 ID:4C1mBipr0
よくやるsendmailの-tで送信元を指定して
エラーメールの受け取り先を設定ってのができないよね

ちなみに今日の問題には4.3.11用のパッチも出てるので、
問題があるならバージョンダウンすると良いよ
59名無しさん@6周年:2005/11/03(木) 16:38:35 ID:1VlCie+E0
>>57
ありがとん
第五引数が無効になったのね
ニュー速で技術情報拾えるとは思わなかったw
60名無しさん@6周年:2005/11/03(木) 16:39:43 ID:0rUWF+ar0
被害甚大だな。
61名無しさん@6周年:2005/11/03(木) 17:15:00 ID:8Cxivba20
>>15
それってPHPの意味ないじゃん。
AHPでもBHPでもCHPでも一緒・・・
62名無しさん@6周年:2005/11/03(木) 17:23:47 ID:ZAwfhiwr0
マジかよーーーーーーーーー!!!!!!!!




で、PHPて何や?
63名無しさん@6周年:2005/11/03(木) 17:28:41 ID:W22OJkUS0
PHPの最初のPは
もともとPersonalかなんかだったような…
実際のとこエロい人教えて
64名無しさん@6周年:2005/11/03(木) 17:36:57 ID:1VlCie+E0
昔はPersonal Home Pageというださい名前だったよ
65名無しさん@6周年:2005/11/03(木) 17:45:32 ID:W22OJkUS0
66名無しさん@6周年:2005/11/03(木) 17:49:44 ID:WoYXF85w0
Perl6はまだかいねー
PHPなんて使わんよ。
67名無しさん@6周年:2005/11/03(木) 17:50:49 ID:qQuLVbStP
うわ、こりゃ大変だな
68名無しさん@6周年:2005/11/03(木) 17:58:08 ID:Y7q7TOHR0
楽天とかヤフーもつかってるよPHP
69名無しさん@6周年:2005/11/03(木) 18:00:06 ID:PemKdkxK0
PHPなんてまだ使われてるのか?
時代は.NETだぜ
70名無しさん@6周年:2005/11/03(木) 18:03:32 ID:M6z5Ndnq0
結局困るのは顧客ってことか・・
71名無しさん@6周年:2005/11/03(木) 18:10:51 ID:HFO+DlPe0
よくわからんが、
PHPでファイルアップロードの処理をしてなかったら
大丈夫?
72名無しさん@6周年:2005/11/03(木) 18:13:07 ID:WY7uIvcg0
>>40
でも,昔のBBSなんかで動的にオンにしてる場合があるから
そいつらは気をつけれ。鯖管の職域外だから。
73名無しさん@6周年:2005/11/03(木) 18:15:54 ID:r4ZexmgP0
>>71
よくわからんが、
ダメじゃね?
74名無しさん@6周年:2005/11/03(木) 18:21:46 ID:HFO+DlPe0
4.3.2でregister_globals=onで
ファイルのアップロード処理はないんだけど大丈夫だよね?
5.0.5でregister_globals=offで
ファイルのアップロード処理はないんだけど大丈夫だよね?
75名無しさん@6周年:2005/11/03(木) 18:23:16 ID:r4ZexmgP0
76名無しさん@6周年:2005/11/03(木) 18:24:24 ID:mFQHsJnI0
>69
社内システムならねw
77名無しさん@6周年:2005/11/03(木) 18:33:21 ID:HFO+DlPe0
調べたけど
大丈夫だった。
ID:r4ZexmgP0は嘘をつくな。
78名無しさん@6周年:2005/11/03(木) 18:41:22 ID:r4ZexmgP0
調べたけど。
ダメだった。
ID:HFO+DlPe0は嘘をつくな。
79名無しさん@6周年:2005/11/03(木) 18:44:08 ID:3R6VUeD10
そろそろ全世界のPHPなウェブサイトというウェブサイトがジェノサイト食らってる?
80名無しさん@6周年:2005/11/03(木) 18:46:19 ID:qoObpDo20
file_uploads=Off ではダメなのか?
81名無しさん@6周年:2005/11/03(木) 18:51:00 ID:qQuLVbStP
拡張子が.phpとかいうファイルがまんま見えてると、言語に穴があった場合に
攻撃受けやすくて危険な場合もあるということか

独自拡張子で言語が分からないようにしておけば、bot収集で無差別アタックとか
来づらくていいかもな
82名無しさん@6周年:2005/11/03(木) 18:52:55 ID:r4ZexmgP0
>>81
頭悪過ぎてワロタ
83名無しさん@6周年:2005/11/03(木) 18:54:21 ID:WDvW/Av+0
とりあえずファイルアップロードしてくると思うよ。
そしたらグローバル汚染だろ。
PEAR使ってたら即死。
ていうか俺即死しそう。誰かmojaviのパッチ当て手伝って。
サーバー多くて糞面倒くせえ。
84名無しさん@6周年:2005/11/03(木) 18:55:26 ID:lsgLW+dCO
グーグルもこれで攻撃されたのか
85名無しさん@6周年:2005/11/03(木) 18:56:29 ID:1+Ay9jnD0
うわー、自分は社内でPHPを押してたから明日会社行きたくないな。もう、みんなこの事知ってるんだろうな…。
86名無しさん@6周年:2005/11/03(木) 19:01:18 ID:TIRtDvI1O
>85
そりゃ仕方ないじゃん
ガンガッて会社行け
87名無しさん@6周年:2005/11/03(木) 19:04:28 ID:CxYaiKXj0
一瞬HSPかとオモタ
88名無しさん@6周年:2005/11/03(木) 19:04:49 ID:vgbO5Aau0
PHP って、PHP/FI だった時代から、こんな話題ばっかりだな。

汎用性が高いから、以前はあちこちに導入した覚えがあるけど、
計算機管理が存分に出来なくなったから、数年前にリスクを回避
するために、その時点で立ち上がっていた計算機からは取り外し
た記憶がある。

これを見ると、再開の時期は、まだまだ遠いな。

89名無しさん@6周年:2005/11/03(木) 19:05:44 ID:4C1mBipr0
90名無しさん@6周年:2005/11/03(木) 19:05:53 ID:QiLfii930
また週刊マイクソソフトか?
91名無しさん@6周年:2005/11/03(木) 19:10:21 ID:y1bPa8X80
register_globalsをoffにすれば済むのに大げさな
92名無しさん@6周年:2005/11/03(木) 19:18:10 ID:WDvW/Av+0
>>91
register_globalsがoffでも$GLOBALS使ってたらアウト
PEAR.phpが使ってる。だからPEAR使ってる奴はアウト。
つーかregister_globalsは最近デフォルトでoffでしょ?
93名無しさん@6周年:2005/11/03(木) 19:18:09 ID:kA7Op0Cn0
これからはPythonの時代だな
94名無しさん@6周年:2005/11/03(木) 19:18:55 ID:87vwwmtF0
register_globals=off  だったら平気だろ
95名無しさん@6周年:2005/11/03(木) 19:21:46 ID:cY3vSWPY0
今 4.3.7から4.4.1にあげた
php.ini保存し忘れてあせった
96名無しさん@6周年:2005/11/03(木) 19:22:27 ID:87vwwmtF0
慌てるほどのモンぢゃないな♪
97名無しさん@6周年:2005/11/03(木) 19:39:58 ID:4C1mBipr0
>>92
これってホント?
嫌がらせとかじゃなくて大事なことなので、ソースきぼんぬ

ttp://blog.ohgaki.net/index.php/yohgaki/2005/11/03/phpa_rc_fei_a_oa_oa_fa_sa_le_acsa_oe_afp_1
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051102_PHP

これらのサイトを見る限りでは「register_globals=on の場合に」となっている。
98名無しさん@6周年:2005/11/03(木) 19:44:47 ID:PHY2PpwU0
このPHPの、どこにセキュリティホールが??

http://research.php.co.jp/
99名無しさん@6周年:2005/11/03(木) 19:49:28 ID:B1c6MGs/0
だから、2ちゃんねる全体がアクセスできなかったのか。
100名無しさん@6周年:2005/11/03(木) 19:51:40 ID:OALr2oB50
あちゃー,こらデカいわな…。

つーかPHPは昔からセキュリティホールになりそうな爆弾抱えすぎな
希ガス。

例:httpリクエストパラメータと同名の変数を内部的に勝手にこさえてしまう
  → スクリプト上の変数名とかちあっても意に介さず。
101名無しさん@6周年:2005/11/03(木) 19:53:11 ID:bFp7xnbw0
>>100
いつの話だ…
102名無しさん@6周年:2005/11/03(木) 19:54:35 ID:Yg9ggjS10
これからの流行はC++でApacheモジュール灘
103名無しさん@6周年:2005/11/03(木) 19:55:27 ID:OALr2oB50
>>101
あっしも古いヤツでござ(ry
104名無しさん@6周年:2005/11/03(木) 19:59:43 ID:Yg9ggjS10
Apache Version: Apache/1.3.29 (Unix) PHP/5.0.1

_| ̄|○
105名無しさん@6周年:2005/11/03(木) 20:00:41 ID:PJ+UixYC0
具体的にどういうコードがやばいか分かるしといませんか?
アップロード処理しつつ、$GLOBALS使うとやばいの?
それとも、アップロード処理してなくても、$GLOBALS使うとやばいの?
$GLOBALを呼び出した時点でやばいのか、サニタイズすればOKなのですか?
106名無しさん@6周年:2005/11/03(木) 20:15:16 ID:62/CTeRI0
まいったな、Perlから全部PHPに乗り換えてるところなのに。

しかし-某国のサイバーテロ集団のサイトをいじるのには使えるか
107名無しさん@6周年:2005/11/03(木) 20:17:28 ID:ADLrHeWQ0
1 register_globals=on
2 parse_str関数を1つの引数のみでリクエストデータに使用した場合
3 import_request_variablesを使って(foreachで$_POSTとか$$keyで初期化しても)スコープ内にリクエストデータを使用した場合
108名無しさん@6周年:2005/11/03(木) 20:18:06 ID:GhQAt4YN0
>>95
make installしても、php.iniは上書きされないよ。
明示的に php.ini-distをコピーしないとダメ。
109名無しさん@6周年:2005/11/03(木) 20:19:48 ID:BRiuAuFx0
ファイルアップさせる機能がなければ大丈夫なのかな
明日出社したらまずは全部点検か
この忙しい時期になんてこった
110名無しさん@6周年:2005/11/03(木) 20:19:57 ID:PJ+UixYC0
多分大丈夫かな・・・(´・ω・)
111名無しさん@6周年:2005/11/03(木) 20:21:23 ID:JM7cTHKe0
$GLOBALなんて使うなよ
手を抜きすぎだ
112名無しさん@6周年:2005/11/03(木) 20:23:10 ID:ADLrHeWQ0
だがPearでもOsCommerceやXOOPSでも使われまくってる
113名無しさん@6周年:2005/11/03(木) 20:29:06 ID:OALr2oB50
だが心配のしすぎではないか





のレスがないのは,システム屋さんがたくさんいるスレだからだとおもた。
114名無しさん@6周年:2005/11/03(木) 20:29:35 ID:W9S3a6l30
またどこかのプロジェクトで
PGが死ぬことになるのか・・・
(´・ω・`)カワイソス
115名無しさん@6周年:2005/11/03(木) 20:30:38 ID:OtwAd7kA0
早速被害にあった
116名無しさん@6周年:2005/11/03(木) 20:42:30 ID:ADLrHeWQ0
4.2以下でも動作する様に下位互換性を持った配布スクリプトはほぼ全滅ではないだろうか
117名無しさん@6周年:2005/11/03(木) 20:58:59 ID:BRiuAuFx0
>>115
くわしく
118名無しさん@6周年:2005/11/03(木) 21:00:49 ID:4HFNywzR0
明日が月曜日になるひと続出ですね
119名無しさん@6周年:2005/11/03(木) 21:08:51 ID:OtwAd7kA0
詳しく書いたら被害がでかくなっちゃう希ガス
早くパッチあてれっつかバージョンアップしてくれ
120名無しさん@6周年:2005/11/03(木) 21:10:49 ID:h6aENqlw0
>>1
住基ネットか公的個人認証か電子申請や電子登記に使われているのなら大騒ぎなの?
121名無しさん@6周年:2005/11/03(木) 21:11:08 ID:QvqIiwNR0
122名無しさん@6周年:2005/11/03(木) 21:18:10 ID:tm67XwaV0
>>121
ざっと見た感じだと、アップデートしたから終わりっていうわけにはいかないようだな。
アップデート終了の一年後になんらかの問題が出てくる可能性すらあるような気がするが…。
123名無しさん@6周年:2005/11/03(木) 21:21:53 ID:WDvW/Av+0
>>97
違ったようだな。すまん。
124名無しさん@6周年:2005/11/03(木) 21:23:13 ID:zO5C7cz50
perlで書いてる俺は勝ち組
125名無しさん@6周年:2005/11/03(木) 21:24:14 ID:fnj7klO+0
これからはRubyの時代だな。うぇうぇwwww
126名無しさん@6周年:2005/11/03(木) 21:27:52 ID:OtwAd7kA0
>>121
dユーザー側でも注意が必要なんだな。やってみる
127名無しさん@6周年:2005/11/03(木) 22:00:05 ID:PJ+UixYC0
盛り上がってないけどみんな結構どうでもいいの?
128名無しさん@6周年:2005/11/03(木) 22:02:11 ID:4HFNywzR0
どうでも良くない人はすでにこんなところに書き込んでいる場合じゃないのかと
129名無しさん@6周年:2005/11/03(木) 22:02:23 ID:8aK4UkrK0
パッチって、どうやってあてればいいですか?
130名無しさん@6周年:2005/11/03(木) 22:08:42 ID:Bg33IMrY0
perlを使えばいいじゃない。
131名無しさん@6周年:2005/11/03(木) 22:12:45 ID:WDvW/Av+0
作業が終わったんだよ
132名無しさん@6周年:2005/11/03(木) 22:16:17 ID:n0ox2TO50
過去ログサイトを運営しているけど、php4.3.10だったよ。orz
pukiwikiのアップデートしようと思ったけど、事故覚悟で見送りしとこ。
133名無しさん@6周年:2005/11/03(木) 22:28:16 ID:BRiuAuFx0
そういやwikiでglobalsってページ作るとどうなるんだろうな
これは別になんともならないか?
134名無しさん@6周年:2005/11/03(木) 22:39:21 ID:h7lPK1eoO
Fedoraのパッケージもまだでてないよな
ソースから4.4.1入れるしかないのか
135名無しさん@6周年:2005/11/03(木) 23:33:05 ID:JM7cTHKe0
パッケージで構築してるのかよ・・・
そういう香具師はApacheもパッケージだったりするのか。。。
136名無しさん@6周年:2005/11/03(木) 23:40:58 ID:t8W8jmFz0
PHSなんかもう使ってないし
137名無しさん@6周年:2005/11/04(金) 00:04:26 ID:La2P/QjE0
はいはいワロスワロス
138名無しさん@6周年:2005/11/04(金) 00:05:38 ID:rFO6jxGB0
PHP 4.3.11のパッチは要検証と成っているが使えるのか?
結構死活問題
139名無しさん@6周年:2005/11/04(金) 00:06:06 ID:XduXm9nD0
一応俺の管理下のサーバは全部対応した。
でも、セキュリティパッチとか全く当ててないからそもそも問題外だな。
140名無しさん@6周年:2005/11/04(金) 00:07:38 ID:+QuCfrmV0
CGTalkが昨日だったかメンテナンスしてかが、これだったのかな?
141名無しさん@6周年:2005/11/04(金) 00:45:08 ID:wWhnKP/W0
PHPって携帯電話のことか?
142名無しさん@6周年:2005/11/04(金) 01:07:39 ID:20oOyT1Z0
うわぁ!!!
うちの会社のサーバのうち、PHP使ってんの何台あったかな?
当分の間デスマーチ決定だな・・・   _| ̄|○

143名無しさん@6周年:2005/11/04(金) 01:07:45 ID:0aj37ZAD0
無知は黙ってろ
144名無しさん@6周年:2005/11/04(金) 01:37:10 ID:V0PopOuF0
松下か!
145名無しさん@6周年:2005/11/04(金) 01:42:27 ID:d6jGZh3m0
PEAR駄目なのかよ、おれ即死wwwww





だからPHPなんて使うなと…
146名無しさん@6周年:2005/11/04(金) 01:57:43 ID:a5tb6eAj0
PHPってセキュリティ絡みのアップデートはよく有ると思うけど、
普段はどうしてるの?
147   :2005/11/04(金) 02:09:57 ID:sfseIC6t0
ほんの数年前、緊急雇用対策で神奈川県立高校のコンピュータ講師募集は軒並み、面接になって
PerlやPHPを駆使できる人で無いと困るなんて言い出して軒並み不採用になったけど

今頃大変だね。
148名無しさん@6周年:2005/11/04(金) 06:38:07 ID:bSnmInAf0
PHPってこんなんばっか
ちょっとした掲示板やカウンター組むならいいけど
デカいプログラムには向いてないな
149名無しさん@6周年:2005/11/04(金) 07:07:15 ID:3VBfbJTs0
レンタルサーバは4.3.8使ってるみたいだが、肝心のスクリプトの方はテキスト投稿受付機能はあるが
ファイルアップロード機能は無いので大丈夫っぽいな。
150名無しさん@6周年:2005/11/04(金) 09:23:14 ID:C+wB//6w0
ああ、予想通りてんてこまい
151名無しさん@6周年:2005/11/04(金) 09:24:10 ID:Tl1IhdB80
FMはIMを使っているという話はありですか。
152名無しさん@6周年:2005/11/04(金) 11:01:06 ID:Mh2TzSkG0
日本総本家やスラッシュドットにも載りだしたね
ttp://www.php.gr.jp/
ttp://slashdot.jp/security/article.pl?sid=05/11/03/2157229&from=rss
153名無しさん@6周年:2005/11/04(金) 11:04:51 ID:uvhqPbb00
エロDVD再生と2chにしかPC使わない漏れには関係のない話しだな。
154名無しさん@6周年:2005/11/04(金) 12:16:40 ID:Jr4ErMQi0
fastcgiやlighttpdがあるから、PHPまじいらね。
155名無しさん@6周年:2005/11/04(金) 12:42:11 ID:sGfFCTM50
勘違いしてる奴多いが
「ファイルアップロード機能の有無」は何の意味もねーぞ
機能の有無に関わらず送りつけられたらPHPは受け取るんだ
156名無しさん@6周年:2005/11/04(金) 12:51:33 ID:oy23R0dD0
未だに、3.0.18の国際版使ってるんだが、PHP4に未だにバージョンアップしてねー。
157名無しさん@6周年:2005/11/04(金) 12:55:37 ID:Yi4hMDUX0
Content-Type: multipart/form-data, boundary=_BOUNDARY_20051104_035409_TjfpCKMTAP_

--_BOUNDARY_20051104_035409_TjfpCKMTAP_
content-disposition: form-data; name="test"

value
--_BOUNDARY_20051104_035409_TjfpCKMTAP_
content-disposition: form-data; name="file"; filename="test.txt"
Content-Type: plain/text
Content-Transfer-Encoding: binary

dGVzdA==
--_BOUNDARY_20051104_035409_TjfpCKMTAP_--

158名無しさん@6周年:2005/11/04(金) 14:38:46 ID:pX9kw8yN0
この問題なんだけどさぁ、multipart/form-dataで、POSTされたリクエストを
Apacheで排除するって方法とかはできないんかねぇ。
そもそも、Apacheでそんなフィルターできるか知らんが・・・。

なんとか、パッチ以外の別の方法を探さねば・・・
159名無しさん@6周年:2005/11/04(金) 15:58:55 ID:Xco9+UNM0
>>158
こんなんでどお?
ちゃんと動くか確認してない&これで今回の問題がほんとに回避できるのかわからないけど。

RewriteEngine On
RewriteCond %{REQUEST_METHOD} "^POST$"
RewriteCond %{HTTP:Content-Type} "^multipart/form-data"
RewriteRule ^/path/to/php/scripts/ - [F]
160名無しさん@6周年:2005/11/04(金) 16:05:18 ID:tL3GEdf+0
mod_rewriteでそんなことできるのか・・・
たんなるURL書き換えにしか使ってなかった。
161名無しさん@6周年:2005/11/04(金) 16:11:30 ID:pX9kw8yN0
ちょっと、試してみる・・・
>>159
ありがとー。
162名無しさん@6周年:2005/11/04(金) 16:16:03 ID:sGfFCTM50
なんかwebprog板のPHPスレより有益な情報が多い気がする
色んな人がいるからか
163名無しさん@6周年:2005/11/04(金) 17:14:25 ID:Kp52kz2h0
ぐはー、うち、register_globals=onだよー。
orz

だって書いた当時はデフォでonだったし…。
その当時の遺産が10サイト程…。
しぬる
164名無しさん@6周年:2005/11/04(金) 18:17:24 ID:uEbWIWEz0
>>163
( ;´・ω・`)人(´・ω・`; ) ナカーマ

おとといぐらいから修正中・・・  orz
165163:2005/11/04(金) 19:06:05 ID:Kp52kz2h0
>>164
いや、まだ会社としての方針が決まってないから修正作業は始まってないけど
register_globals=onってのはさっき書いたとおりだけど
$GLOBALSは使ってないんだよね…。
$HTTP_*_VARSは使ってるけど。←($_*のバージョンより前w)
だから本体のVer上げたらソースの書き換えはもちろん、管理画面(コバルト)使ってるからそれも
おそらくぶっ壊れるw
なんかやりきれない思いであげとくわw
166名無しさん@6周年:2005/11/04(金) 19:07:05 ID:1tsZiC1v0
自宅鯖でp2使ってるんだけど対処したほうがいいのかな
167名無しさん@6周年:2005/11/04(金) 19:07:09 ID:o4DdR2k40
またPHP出版か!!!
168名無しさん@6周年:2005/11/04(金) 20:11:27 ID:izMPuH/V0
>>165
コバルトRaQ550(PHP4.0.6)なら下記の手順でアップグレード可能っぽい

[RAQ550の場合下記の準備をする]
・/usr/lib/apache/libphp4.soをlibphp4.0.6.soにリネームする
・/etc/admserv/conf/httpd.conf内のlibphp4.soの記述をlibphp4.0.6.soに書き換える

・/usr/local/src/ に最新のPHPのtarをダウンロードする
・php-4.3.11フォルダを作成し解凍する

・configureコマンドを実行
・make install
・/etc/rc.d/init.d/httpd restart

(念のためphp.iniを確認する)
完了

うちのRaQサーバーで4.3.11にしたときはこれでいけました
169TRONφ ★:2005/11/04(金) 20:15:33 ID:???0
常時age
170名無しさん@6周年:2005/11/04(金) 20:21:43 ID:0Bun9cpP0
漏まいら、そんなに心配ならhttpd chrootしれ
171名無しさん@6周年:2005/11/04(金) 20:22:18 ID:m+wfF9bOO
>>166
踏み台にされてしまうかもしれんから
直すのがよいと思われ。

特にp2はPEAR使ってるし
172168:2005/11/04(金) 20:24:21 ID:izMPuH/V0
なんか違う気もするけどソースはたぶんこれだな
ttp://www.cobaltqube.org/ml/archive/coba-d/20030202.week/5107.html

共用サーバーで開発している方々はどうするんかね・・
173TRONφ ★:2005/11/04(金) 20:52:06 ID:???0
age
174名無しさん@6周年:2005/11/04(金) 21:02:29 ID:tL3GEdf+0
共用サーバ(WebARENA)でregister_globals=onなんだが、$GLOBALSは使ってない。
これってどう対処したらいいんだ?
175名無しさん@6周年:2005/11/04(金) 21:06:20 ID:bW76/IBZ0
>>174
suite2ならPHP自体をアップデートするらしいから放っておけば。
さっき案内が来たよ。
176名無しさん@6周年:2005/11/04(金) 21:07:02 ID:8cF97rOG0
xoopsはどうすれば?
177名無しさん@6周年:2005/11/04(金) 21:16:00 ID:izMPuH/V0
>>175
それで安心してしまうとアカンような気がするね
次のセキュリティホールが見つかったとき・・
178名無しさん@6周年:2005/11/04(金) 21:19:42 ID:tL3GEdf+0
>>175
ほんとだ、サンキュ
179名無しさん@6周年:2005/11/04(金) 21:31:07 ID:bW76/IBZ0
>>178
でも、どのみち新バージョンに合わせて全スクリプトの精査しなきゃならんけど…orz
180158:2005/11/04(金) 22:47:01 ID:pX9kw8yN0
>>159
試したよ。
望みどおり、multipart/form-dataなRequestだけ排除できたよん。
これで、ソース書き換えの間の時間稼ぎになればと。
ありがとうございました。
181163:2005/11/04(金) 22:57:11 ID:Kp52kz2h0
>>168

うわっ、こんなに懇切丁寧なレス頂くとは。
現実逃避の為に一日中開発に没頭してましたが重い腰あげてみます。
でもうちってテスト環境もねーからとりあえずraQ550もう一台確保するところからっス。
orz
でも情報感謝です。
ほうとに(・∀・) ありがとう!!
182TRONφ ★:2005/11/04(金) 23:00:04 ID:???0
age
183名無しさん@6周年:2005/11/04(金) 23:33:23 ID:IM+he6x90
うちのとこは今日はソースの書き換えを行って、明日から二日間でテスト。
まあ、半日もあれば終わるだろうけど。ちょうど休みの間の平日で通常業務も少なかったから
運がよかったみたい。
184名無しさん@6周年:2005/11/04(金) 23:37:59 ID:bwc0jBB60
出版社じゃないのか
185TRONφ ★:2005/11/05(土) 00:59:00 ID:???0
age
186名無しさん@6周年:2005/11/05(土) 01:21:23 ID:jwOf9Ba00
けっこういるんだな。
おれはバージョン上げたときに全部書き直しておいた。
メンテが楽だからと当然のように主張したぞ。あり組自慢。
187名無しさん@6周年:2005/11/05(土) 09:05:32 ID:EMcV3fkE0
だいぶ落ち着いてきたかな?

この土日がなくなった人、手を上げて〜  ノシ
188名無しさん@6周年:2005/11/05(土) 09:08:37 ID:64UX/26e0
(´・ェ・`)ノシ
189名無しさん@6周年:2005/11/05(土) 09:12:56 ID:LB0ru6/X0
t
190名無しさん@6周年:2005/11/05(土) 09:18:56 ID:IYDk4+DOO
意味わからん。
俺にはきっと関係ない。
1しか読んでないけど
191名無しさん@6周年:2005/11/05(土) 09:23:43 ID:EejKYwA+0
こういうのってここに載せるような記事なわけなんだろうか?
しかも下がってるのを>>1がアゲるのもどうかと思うよ。
192名無しさん@6周年:2005/11/05(土) 09:28:42 ID:T9togl5r0
redhat9用にrpm作ってくれないかな。
193名無しさん@6周年:2005/11/05(土) 09:31:09 ID:rMYiMiqp0
Java の方が扱いやすいよ。PHPって生産性よくない希ガス。
194名無しさん@6周年:2005/11/05(土) 09:34:49 ID:ekaoy/mYO
PHP文庫でハァハァしながらオナホでフィニッシュする俺は最悪ですかそうですか。
195名無しさん@6周年:2005/11/05(土) 10:43:58 ID:EMcV3fkE0
セキュリティに対する危機感持ってるヤツ少ないな
みんな個人情報とかは扱ってないのかな?
196名無しさん@6周年:2005/11/05(土) 11:00:51 ID:vmBzc3Br0
>>193
JDKビルドの際になぜか必ずコンパイルエラーが出る。

CPUがP54C-133なのが問題なのかっ!
197名無しさん@6周年:2005/11/05(土) 11:14:35 ID:ZItdZ1D50
うちのサイトのアクセスログみるとp2から来てるのが
結構居るんだよな。
おまいらちゃんと対策しておけよ
198名無しさん@6周年:2005/11/05(土) 11:36:58 ID:64UX/26e0
とりあえず、PHP 4.4.1にあげた。
でもregister_globals=onなので、スクリプトもなおしていかないとな〜
199名無しさん@6周年:2005/11/05(土) 12:31:06 ID:Of8JEb1R0
これってOSX標準のPHPも影響あるんだよ・・・ね?
200名無しさん@6周年:2005/11/05(土) 12:31:11 ID:IhZ/96Pv0
3.3.11パッチあてるか4.4.1にまで上げたのならregister_globals=onでも良いんじゃねーの?
201名無しさん@6周年:2005/11/05(土) 14:16:05 ID:EMcV3fkE0
>>200
そうね、でも4.4.1はメール周り(mb_send_mail, mb_encode_mimeheader)がダメ
4.3.11用patchは未検証と、悩ましいよね

今のところ問題は出てないようなので4.3.11+patchが正解かな?
誰か当てて問題なく運用しているっていう人いる?
202名無しさん@6周年:2005/11/05(土) 14:57:31 ID:YFTKt0cI0
確かPHP 4.3.11 には mb_detect_encoding/mb_convert_encoding に問題があったはず。

[PHP-users 25298]
ttp://ns1.php.gr.jp/pipermail/php-users/2005-April/025814.html

PHP 4.3.11にするなら、ついでにこの問題に対するpatchを適用しておいた方が安全かも。
ttp://cvs.php.net/diff.php/php-src/ext/mbstring/libmbfl/mbfl/mbfilter.c?r1=1.1.2.6&r2=1.1.2.7&ty=u
203名無しさん@6周年:2005/11/05(土) 15:12:10 ID:EMcV3fkE0
>>202
はぁ、複雑すぎよね。安心して使えるバージョンはまだかな。。。

じゃあ4.3.11を利用するときには、
今回のセキュリティホール用パッチとmb_(detect|convert)_encodingパッチを当てて利用ってことで。
204名無しさん@6周年:2005/11/05(土) 15:30:51 ID:IhZ/96Pv0
4.4.1まで上げて、mb_send_mailまわりは自力変換かjcode.phpあたりでラッパー関数作るか。
4.4.0から定数参照の仕様が変わったとかもあるんだっけな、参照引数に直接値渡してないか
全部調べるのめんどくせーなぁ…
標準関数なんてどれが参照渡しなのか把握してねーよ…
205名無しさん@6周年:2005/11/05(土) 17:18:11 ID:64UX/26e0
mb_send_mail 、うちでは大丈夫だったなぁ。

これがだめだった。
$subject = i18n_mime_header_encode(mb_convert_encoding($subject "JIS", "EUC-JP"));
mail($mail_to, $subject $honbun, $mail_from);

なぜか subject が ISO-2022-JP じゃなく UTF-8 になってた。
206名無しさん@6周年:2005/11/05(土) 17:50:32 ID:TT9Lf0GR0
4がでても、mbまわり不安だったので、今だに3.0.18-ja のままです。
207名無しさん@6周年:2005/11/05(土) 19:43:14 ID:wVraGpA70
4.4.2 Devってどこにある?
208名無しさん@6周年:2005/11/06(日) 08:38:13 ID:xBPNip1b0
初心者向けで分かりやすい
http://www.pahoo.org/e-soul/webtech/php01/php02-01.shtm
209名無しさん@6周年:2005/11/06(日) 08:45:30 ID:t5OEgdqp0
しかしなんだな、
ニュー速にはプログラマが多いと言うことか?
210名無しさん@6周年:2005/11/06(日) 10:58:17 ID:qcEwmEtC0
逆にWebProg板はこっちに誘導するようなクズばっかなんだよな
211名無しさん@6周年:2005/11/06(日) 11:13:11 ID:fPjEzqZE0
まずいバージョンでregister_globals=onで、
複数の企業がユーザのサイトだけど、
こんな問題放置だよ。
だって修正費用安いから。
一度全データハッキングされねえかな?と思ってるんだけどな。
212名無しさん@6周年:2005/11/06(日) 19:07:07 ID:AwQlRPUO0
(ノ∀`)アチャ-今知った
register_globalsはOffだったけど、
本家だけじゃなく日本PHPユーザ会もお参りしないとダメですね。
Cの頃は結構グローバル使ってたよ。
213名無しさん@6周年:2005/11/06(日) 23:11:16 ID:MyXFFS9y0
オープンソースとか、名が知れたスクリプトを使ってないサイトじゃ、攻撃するにしても変数名一つ探り当てるにも膨大な手間と推理が必要じゃね?
実際のとこ、自分で書いたスクリプトだったらまず安心だな。
214名無しさん@6周年:2005/11/07(月) 01:27:46 ID:YDoCNglk0
http://ns1.php.gr.jp/pipermail/php-users/2005-November/027861.html
これに対してエラい人が「間違ってる」って言わないってことは

>この結果を見る限り、(register_globals=offを前提で)プログラム
>中で$GLOBALS配列を使っていない限り、影響は受けないのかなぁ。。。

これは的を得てるってことなんかな?
215名無しさん@6周年
大垣氏が公開してるって・・・
会長がパッチ作るユーザ会って廃れてる印象すら受けるな