!【緊急】開発言語PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を
1 :
TRONφ ★:
Hardened-PHP Projectは10月31日(現地時間),
オープンソースWebアプリケーション開発言語PHPの
深刻なセキュリティ・ホールを警告した。
リモートからPHPスクリプトを実行される
「今まで見つかった中でも最悪のセキュリティ・ホール。
全てのPHPユーザは今すぐ対処を行う必要がある」(日本PHPユーザー会 大垣靖男氏)。
PHP4の4.4.0以前のバージョン,PHP5の5.0.5以前のバージョンが影響を受ける。
対策はパッチを適用することなど。
このセキュリティ・ホールは,ファイル・アップロードでグローバル・シンボル・テーブル$GLOBALSが
書き換えられることにより,リモートからPHPのスクリプトを実行される可能性があるというもの。
PHPの標準ライブラリであるPEARなどがこのセキュリティ・ホールにより攻撃される可能性がある。
そのほか「影響を付けるシステムやアプリケーションは数え切れないほど多い」
(Hardened-PHP Project)。
PHP 4.3.10以下は$_GET,$_POST,$_COOKIEのセキュリティ・ホールが存在しておりさらに危険という。
対策は,PHPの場合4.4.1以上にアップグレードすること。PHP5の場合
「日本時間11月2日時点ではPHP5用のパッチまたは対策済みリリースは公開されていない」(大垣氏)。
大垣氏がPHP 5.0.4またはPHP 5.0.5用のセキュリティ・パッチを公開している。
ただし,PHP4.4.xではソースコード埋め込み定数参照の仕様が変更されているため,
プログラムが動作しなくなる場合がある。大垣氏がPHP 4.3.11用のセキュリティ・パッチを公開している。
http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/
2 :
名無しさん@6周年:2005/11/03(木) 11:44:32 ID:pPR65LQ80
2
3 :
●バーナーたん:2005/11/03(木) 11:44:36 ID:2fhBwFzn0
一等自営業阻止
4 :
名無しさん@6周年:2005/11/03(木) 11:45:33 ID:cNx7YsKh0
また松下幸之助か!
5 :
名無しさん@6周年:2005/11/03(木) 11:45:48 ID:7lNBBNBJ0
6 :
名無しさん@6周年:2005/11/03(木) 11:46:12 ID:27poaYMK0
PHPってんなに?
>5
8 :
名無しさん@6周年:2005/11/03(木) 11:46:48 ID:wFNXmll00
PHPってパナソニックのことか?
自鯖のPHPアップデートしなきゃ駄目か。万度草。
CMS使ってれば、自動的にアップデートしてくれないのかな。
10 :
名無しさん@6周年:2005/11/03(木) 11:48:34 ID:3OONoJzT0
ありゃ、こりゃ明日は忙しくなりそうだな。
こんどはPHPか
P ペニス
H ヒップ
P ペニス
13 :
名無しさん@6周年:2005/11/03(木) 11:51:59 ID:pgUS9Bc70
PHP?
自己啓発のやつ?
14 :
名無しさん@6周年:2005/11/03(木) 11:54:44 ID:9h8tjWtK0
文句あるなら新しい言語でも作ってみろ下手くそ。
>6
PHP Hypertext Preprocessorの略だよ
↑のPHPもPHP Hypertext Preprocessorの略
↑のPHPもPHP Hypertext Preprocessorの略
↑のPHPもPHP Hypertext Preprocessorの略
↑のPHPもPHP Hypertext Preprocessorの略
↑のPHPもPHP Hypertext Preprocessorの略
↑のPHPもPHP Hypertext Preprocessorの略
鯖管がんばれ〜
おれの会社は開発だけで鯖はタッチしないから見てるだけ〜
でも動作テストは依頼されそうだな〜
まんどくせ〜
糞忙しい時期に〜
まんどくせ〜
だからASPにしろとあれほど
これはプログラマーにはどうしようもないわな
19 :
名無しさん@6周年:2005/11/03(木) 12:04:21 ID:8hwBwgeb0
20 :
名無しさん@6周年:2005/11/03(木) 12:07:35 ID:3ZrpWjKa0
isapiつかえ
21 :
名無しさん@6周年:2005/11/03(木) 12:09:00 ID:iocLHdog0
休出してPHP開発してる最中だったのに・・・orz
やっぱ、開発者人口が多いソフトの方がいいな。
インターネット時代においては、ソフトウエアクライシスの発生率は一年ごとに倍増し
それに比例して対応コストも増大する。
―― ノースウエストの法則 ――
25 :
名無しさん@6周年:2005/11/03(木) 12:24:08 ID:NUzC1umb0
研究所の編集者のオツムに、セキュリティ・ホールがあったって話し?
研究所ネタはもういいよ
27 :
名無しさん@6周年:2005/11/03(木) 12:27:12 ID:f87aaE6x0
マ板じゃなくてニュー速に立ったのが災いしてるな・・・
↓↓↓↓↓↓↓以下PHP研究所・松下幸之助禁止↓↓↓↓↓↓↓
>>19 GNU is Not Unix
↑ (ry
4.4以前って、4.4も含まれるってことだよね? 念のためだけど。
31 :
名無し屋さん ◆77483qp02s :2005/11/03(木) 13:01:08 ID:EesVy3m10
なんてこった!!!!!!!!!!!1
32 :
名無しさん@6周年:2005/11/03(木) 13:25:09 ID:qdAiWx6f0
あらま
33 :
名無しさん@6周年:2005/11/03(木) 13:27:44 ID:pQ256kOb0
P・H・P!
P・H・P!
自鯖でPHPビルドすると余裕で1時間かかるお(;^ω^)
35 :
名無しさん@6周年:2005/11/03(木) 14:16:39 ID:xLIVzrYc0
また富士通か!
36 :
名無しさん@6周年:2005/11/03(木) 14:24:52 ID:asoZcSot0
PSPなら知ってる。
37 :
名無しさん@6周年:2005/11/03(木) 14:37:20 ID:ka0ovnmR0
言語仕様がころころ変わるPHPか
38 :
名無しさん@6周年:2005/11/03(木) 14:39:23 ID:q8dg4v9GO
未確認情報ですが、
PHPUsers-MLによると、
register_globals = off
変数$GLOBALSを使っていない
を満たせば、問題無いとの話が出ています。
とりあえず続報を待ちましょう
4.4.*には色々と問題があるようです
(mb_send_mailとかに)
41 :
森の妖精さん:2005/11/03(木) 15:32:03 ID:6TeRw2OF0
正直、無駄に騒ぎすぎ。
42 :
名無しさん@6周年:2005/11/03(木) 15:33:41 ID:6icKCn1b0
>>3 (-@∀@)<だが、心配のしすぎではないか
43 :
名無しさん@6周年:2005/11/03(木) 15:35:07 ID:r4ZexmgP0
PHPなんてダサい言語つかってるからだよ。時代はPerlだろw
register_globals = on じゃなきゃ動かない
OSCommerceとか死亡だな
45 :
名無しさん@6周年:2005/11/03(木) 15:39:13 ID:lq889KLq0
.NETなんか使ってゲイシへの献金に禿げんでる香具師らは、フリーの
開発言語やDBのことわからんだろ。 だからPHPも知らない。
46 :
名無しさん@6周年:2005/11/03(木) 15:40:58 ID:CLOVZ+rdO
何を言っているのか全く分からない。
47 :
名無しさん@6周年:2005/11/03(木) 15:53:17 ID:T0t3YS/Y0
pukiwikiのためだけにphpを使ってる
48 :
森の妖精さん:2005/11/03(木) 15:53:19 ID:6TeRw2OF0
>>44 たしかに、どこから引数が来てるのかわからないようなプログラムは
恐いな。getでもpostでもごっちゃになってるから。
49 :
名無しさん@6周年:2005/11/03(木) 15:55:09 ID:7qvfuIft0
Red Hat のRPMがまだ出ねえ
困るんだよ実に さっさとしてくれ
register_globals = offだけど、書き換えるの面倒だから
全部
extract($_REQUEST);
extract($_SERVER);
ってなってる。
ヤバイ?
51 :
名無しさん@6周年:2005/11/03(木) 15:56:56 ID:WDvW/Av+0
PEAR.php使ってたらアウト!
52 :
名無しさん@6周年:2005/11/03(木) 15:57:58 ID:CTU7XnsR0
Perlは偉大なり
うわ悲惨。
PHPって飯食えるの?
鯖管でいい転職先ないかなぁ。
Perlのほうが好きなんだけど。
56 :
名無しさん@6周年:2005/11/03(木) 16:30:32 ID:1VlCie+E0
>>40 mb_send_mailに不具合あるってマジ?
4.4.1にしたから気になる
テストした限りでは問題なく動作してるけど
よくやるsendmailの-tで送信元を指定して
エラーメールの受け取り先を設定ってのができないよね
ちなみに今日の問題には4.3.11用のパッチも出てるので、
問題があるならバージョンダウンすると良いよ
>>57 ありがとん
第五引数が無効になったのね
ニュー速で技術情報拾えるとは思わなかったw
被害甚大だな。
61 :
名無しさん@6周年:2005/11/03(木) 17:15:00 ID:8Cxivba20
>>15 それってPHPの意味ないじゃん。
AHPでもBHPでもCHPでも一緒・・・
マジかよーーーーーーーーー!!!!!!!!
で、PHPて何や?
PHPの最初のPは
もともとPersonalかなんかだったような…
実際のとこエロい人教えて
昔はPersonal Home Pageというださい名前だったよ
Perl6はまだかいねー
PHPなんて使わんよ。
うわ、こりゃ大変だな
68 :
名無しさん@6周年:2005/11/03(木) 17:58:08 ID:Y7q7TOHR0
楽天とかヤフーもつかってるよPHP
PHPなんてまだ使われてるのか?
時代は.NETだぜ
70 :
名無しさん@6周年:2005/11/03(木) 18:03:32 ID:M6z5Ndnq0
結局困るのは顧客ってことか・・
71 :
名無しさん@6周年:2005/11/03(木) 18:10:51 ID:HFO+DlPe0
よくわからんが、
PHPでファイルアップロードの処理をしてなかったら
大丈夫?
>>40 でも,昔のBBSなんかで動的にオンにしてる場合があるから
そいつらは気をつけれ。鯖管の職域外だから。
73 :
名無しさん@6周年:2005/11/03(木) 18:15:54 ID:r4ZexmgP0
74 :
名無しさん@6周年:2005/11/03(木) 18:21:46 ID:HFO+DlPe0
4.3.2でregister_globals=onで
ファイルのアップロード処理はないんだけど大丈夫だよね?
5.0.5でregister_globals=offで
ファイルのアップロード処理はないんだけど大丈夫だよね?
75 :
名無しさん@6周年:2005/11/03(木) 18:23:16 ID:r4ZexmgP0
76 :
名無しさん@6周年:2005/11/03(木) 18:24:24 ID:mFQHsJnI0
>69
社内システムならねw
77 :
名無しさん@6周年:2005/11/03(木) 18:33:21 ID:HFO+DlPe0
調べたけど
大丈夫だった。
ID:r4ZexmgP0は嘘をつくな。
78 :
名無しさん@6周年:2005/11/03(木) 18:41:22 ID:r4ZexmgP0
調べたけど。
ダメだった。
ID:HFO+DlPe0は嘘をつくな。
79 :
名無しさん@6周年:2005/11/03(木) 18:44:08 ID:3R6VUeD10
そろそろ全世界のPHPなウェブサイトというウェブサイトがジェノサイト食らってる?
file_uploads=Off ではダメなのか?
拡張子が.phpとかいうファイルがまんま見えてると、言語に穴があった場合に
攻撃受けやすくて危険な場合もあるということか
独自拡張子で言語が分からないようにしておけば、bot収集で無差別アタックとか
来づらくていいかもな
82 :
名無しさん@6周年:2005/11/03(木) 18:52:55 ID:r4ZexmgP0
83 :
名無しさん@6周年:2005/11/03(木) 18:54:21 ID:WDvW/Av+0
とりあえずファイルアップロードしてくると思うよ。
そしたらグローバル汚染だろ。
PEAR使ってたら即死。
ていうか俺即死しそう。誰かmojaviのパッチ当て手伝って。
サーバー多くて糞面倒くせえ。
84 :
名無しさん@6周年:2005/11/03(木) 18:55:26 ID:lsgLW+dCO
グーグルもこれで攻撃されたのか
うわー、自分は社内でPHPを押してたから明日会社行きたくないな。もう、みんなこの事知ってるんだろうな…。
86 :
名無しさん@6周年:2005/11/03(木) 19:01:18 ID:TIRtDvI1O
>85
そりゃ仕方ないじゃん
ガンガッて会社行け
一瞬HSPかとオモタ
88 :
名無しさん@6周年:2005/11/03(木) 19:04:49 ID:vgbO5Aau0
PHP って、PHP/FI だった時代から、こんな話題ばっかりだな。
汎用性が高いから、以前はあちこちに導入した覚えがあるけど、
計算機管理が存分に出来なくなったから、数年前にリスクを回避
するために、その時点で立ち上がっていた計算機からは取り外し
た記憶がある。
これを見ると、再開の時期は、まだまだ遠いな。
89 :
名無しさん@6周年:2005/11/03(木) 19:05:44 ID:4C1mBipr0
90 :
名無しさん@6周年:2005/11/03(木) 19:05:53 ID:QiLfii930
また週刊マイクソソフトか?
register_globalsをoffにすれば済むのに大げさな
92 :
名無しさん@6周年:2005/11/03(木) 19:18:10 ID:WDvW/Av+0
>>91 register_globalsがoffでも$GLOBALS使ってたらアウト
PEAR.phpが使ってる。だからPEAR使ってる奴はアウト。
つーかregister_globalsは最近デフォルトでoffでしょ?
これからはPythonの時代だな
register_globals=off だったら平気だろ
95 :
名無しさん@6周年:2005/11/03(木) 19:21:46 ID:cY3vSWPY0
今 4.3.7から4.4.1にあげた
php.ini保存し忘れてあせった
慌てるほどのモンぢゃないな♪
97 :
名無しさん@6周年:2005/11/03(木) 19:39:58 ID:4C1mBipr0
98 :
名無しさん@6周年:2005/11/03(木) 19:44:47 ID:PHY2PpwU0
だから、2ちゃんねる全体がアクセスできなかったのか。
100 :
名無しさん@6周年:2005/11/03(木) 19:51:40 ID:OALr2oB50
あちゃー,こらデカいわな…。
つーかPHPは昔からセキュリティホールになりそうな爆弾抱えすぎな
希ガス。
例:httpリクエストパラメータと同名の変数を内部的に勝手にこさえてしまう
→ スクリプト上の変数名とかちあっても意に介さず。
これからの流行はC++でApacheモジュール灘
103 :
名無しさん@6周年:2005/11/03(木) 19:55:27 ID:OALr2oB50
Apache Version: Apache/1.3.29 (Unix) PHP/5.0.1
_| ̄|○
具体的にどういうコードがやばいか分かるしといませんか?
アップロード処理しつつ、$GLOBALS使うとやばいの?
それとも、アップロード処理してなくても、$GLOBALS使うとやばいの?
$GLOBALを呼び出した時点でやばいのか、サニタイズすればOKなのですか?
106 :
名無しさん@6周年:2005/11/03(木) 20:15:16 ID:62/CTeRI0
まいったな、Perlから全部PHPに乗り換えてるところなのに。
しかし-某国のサイバーテロ集団のサイトをいじるのには使えるか
1 register_globals=on
2 parse_str関数を1つの引数のみでリクエストデータに使用した場合
3 import_request_variablesを使って(foreachで$_POSTとか$$keyで初期化しても)スコープ内にリクエストデータを使用した場合
108 :
名無しさん@6周年:2005/11/03(木) 20:18:06 ID:GhQAt4YN0
>>95 make installしても、php.iniは上書きされないよ。
明示的に php.ini-distをコピーしないとダメ。
ファイルアップさせる機能がなければ大丈夫なのかな
明日出社したらまずは全部点検か
この忙しい時期になんてこった
多分大丈夫かな・・・(´・ω・)
$GLOBALなんて使うなよ
手を抜きすぎだ
だがPearでもOsCommerceやXOOPSでも使われまくってる
だが心配のしすぎではないか
のレスがないのは,システム屋さんがたくさんいるスレだからだとおもた。
またどこかのプロジェクトで
PGが死ぬことになるのか・・・
(´・ω・`)カワイソス
早速被害にあった
4.2以下でも動作する様に下位互換性を持った配布スクリプトはほぼ全滅ではないだろうか
117 :
名無しさん@6周年:2005/11/03(木) 20:58:59 ID:BRiuAuFx0
明日が月曜日になるひと続出ですね
詳しく書いたら被害がでかくなっちゃう希ガス
早くパッチあてれっつかバージョンアップしてくれ
120 :
名無しさん@6周年:2005/11/03(木) 21:10:49 ID:h6aENqlw0
>>1 住基ネットか公的個人認証か電子申請や電子登記に使われているのなら大騒ぎなの?
>>121 ざっと見た感じだと、アップデートしたから終わりっていうわけにはいかないようだな。
アップデート終了の一年後になんらかの問題が出てくる可能性すらあるような気がするが…。
123 :
名無しさん@6周年:2005/11/03(木) 21:21:53 ID:WDvW/Av+0
124 :
名無しさん@6周年:2005/11/03(木) 21:23:13 ID:zO5C7cz50
perlで書いてる俺は勝ち組
125 :
名無しさん@6周年:2005/11/03(木) 21:24:14 ID:fnj7klO+0
これからはRubyの時代だな。うぇうぇwwww
>>121 dユーザー側でも注意が必要なんだな。やってみる
盛り上がってないけどみんな結構どうでもいいの?
どうでも良くない人はすでにこんなところに書き込んでいる場合じゃないのかと
パッチって、どうやってあてればいいですか?
perlを使えばいいじゃない。
131 :
名無しさん@6周年:2005/11/03(木) 22:12:45 ID:WDvW/Av+0
作業が終わったんだよ
132 :
名無しさん@6周年:2005/11/03(木) 22:16:17 ID:n0ox2TO50
過去ログサイトを運営しているけど、php4.3.10だったよ。orz
pukiwikiのアップデートしようと思ったけど、事故覚悟で見送りしとこ。
133 :
名無しさん@6周年:2005/11/03(木) 22:28:16 ID:BRiuAuFx0
そういやwikiでglobalsってページ作るとどうなるんだろうな
これは別になんともならないか?
134 :
名無しさん@6周年:2005/11/03(木) 22:39:21 ID:h7lPK1eoO
Fedoraのパッケージもまだでてないよな
ソースから4.4.1入れるしかないのか
パッケージで構築してるのかよ・・・
そういう香具師はApacheもパッケージだったりするのか。。。
136 :
名無しさん@6周年:2005/11/03(木) 23:40:58 ID:t8W8jmFz0
PHSなんかもう使ってないし
137 :
名無しさん@6周年:2005/11/04(金) 00:04:26 ID:La2P/QjE0
はいはいワロスワロス
138 :
名無しさん@6周年:2005/11/04(金) 00:05:38 ID:rFO6jxGB0
PHP 4.3.11のパッチは要検証と成っているが使えるのか?
結構死活問題
一応俺の管理下のサーバは全部対応した。
でも、セキュリティパッチとか全く当ててないからそもそも問題外だな。
140 :
名無しさん@6周年:2005/11/04(金) 00:07:38 ID:+QuCfrmV0
CGTalkが昨日だったかメンテナンスしてかが、これだったのかな?
141 :
名無しさん@6周年:2005/11/04(金) 00:45:08 ID:wWhnKP/W0
PHPって携帯電話のことか?
142 :
名無しさん@6周年:2005/11/04(金) 01:07:39 ID:20oOyT1Z0
うわぁ!!!
うちの会社のサーバのうち、PHP使ってんの何台あったかな?
当分の間デスマーチ決定だな・・・ _| ̄|○
無知は黙ってろ
144 :
名無しさん@6周年:2005/11/04(金) 01:37:10 ID:V0PopOuF0
松下か!
PEAR駄目なのかよ、おれ即死wwwww
だからPHPなんて使うなと…
PHPってセキュリティ絡みのアップデートはよく有ると思うけど、
普段はどうしてるの?
147 :
:2005/11/04(金) 02:09:57 ID:sfseIC6t0
ほんの数年前、緊急雇用対策で神奈川県立高校のコンピュータ講師募集は軒並み、面接になって
PerlやPHPを駆使できる人で無いと困るなんて言い出して軒並み不採用になったけど
今頃大変だね。
148 :
名無しさん@6周年:2005/11/04(金) 06:38:07 ID:bSnmInAf0
PHPってこんなんばっか
ちょっとした掲示板やカウンター組むならいいけど
デカいプログラムには向いてないな
149 :
名無しさん@6周年:2005/11/04(金) 07:07:15 ID:3VBfbJTs0
レンタルサーバは4.3.8使ってるみたいだが、肝心のスクリプトの方はテキスト投稿受付機能はあるが
ファイルアップロード機能は無いので大丈夫っぽいな。
150 :
名無しさん@6周年:2005/11/04(金) 09:23:14 ID:C+wB//6w0
ああ、予想通りてんてこまい
151 :
名無しさん@6周年:2005/11/04(金) 09:24:10 ID:Tl1IhdB80
FMはIMを使っているという話はありですか。
152 :
名無しさん@6周年:2005/11/04(金) 11:01:06 ID:Mh2TzSkG0
153 :
名無しさん@6周年:2005/11/04(金) 11:04:51 ID:uvhqPbb00
エロDVD再生と2chにしかPC使わない漏れには関係のない話しだな。
fastcgiやlighttpdがあるから、PHPまじいらね。
155 :
名無しさん@6周年:2005/11/04(金) 12:42:11 ID:sGfFCTM50
勘違いしてる奴多いが
「ファイルアップロード機能の有無」は何の意味もねーぞ
機能の有無に関わらず送りつけられたらPHPは受け取るんだ
未だに、3.0.18の国際版使ってるんだが、PHP4に未だにバージョンアップしてねー。
Content-Type: multipart/form-data, boundary=_BOUNDARY_20051104_035409_TjfpCKMTAP_
--_BOUNDARY_20051104_035409_TjfpCKMTAP_
content-disposition: form-data; name="test"
value
--_BOUNDARY_20051104_035409_TjfpCKMTAP_
content-disposition: form-data; name="file"; filename="test.txt"
Content-Type: plain/text
Content-Transfer-Encoding: binary
dGVzdA==
--_BOUNDARY_20051104_035409_TjfpCKMTAP_--
この問題なんだけどさぁ、multipart/form-dataで、POSTされたリクエストを
Apacheで排除するって方法とかはできないんかねぇ。
そもそも、Apacheでそんなフィルターできるか知らんが・・・。
なんとか、パッチ以外の別の方法を探さねば・・・
>>158 こんなんでどお?
ちゃんと動くか確認してない&これで今回の問題がほんとに回避できるのかわからないけど。
RewriteEngine On
RewriteCond %{REQUEST_METHOD} "^POST$"
RewriteCond %{
HTTP:Content-Type} "^multipart/form-data"
RewriteRule ^/path/to/php/scripts/ - [F]
mod_rewriteでそんなことできるのか・・・
たんなるURL書き換えにしか使ってなかった。
ちょっと、試してみる・・・
>>159 ありがとー。
なんかwebprog板のPHPスレより有益な情報が多い気がする
色んな人がいるからか
163 :
名無しさん@6周年:2005/11/04(金) 17:14:25 ID:Kp52kz2h0
ぐはー、うち、register_globals=onだよー。
orz
だって書いた当時はデフォでonだったし…。
その当時の遺産が10サイト程…。
しぬる
164 :
名無しさん@6周年:2005/11/04(金) 18:17:24 ID:uEbWIWEz0
>>163 ( ;´・ω・`)人(´・ω・`; ) ナカーマ
おとといぐらいから修正中・・・ orz
165 :
163:2005/11/04(金) 19:06:05 ID:Kp52kz2h0
>>164 いや、まだ会社としての方針が決まってないから修正作業は始まってないけど
register_globals=onってのはさっき書いたとおりだけど
$GLOBALSは使ってないんだよね…。
$HTTP_*_VARSは使ってるけど。←($_*のバージョンより前w)
だから本体のVer上げたらソースの書き換えはもちろん、管理画面(コバルト)使ってるからそれも
おそらくぶっ壊れるw
なんかやりきれない思いであげとくわw
166 :
名無しさん@6周年:2005/11/04(金) 19:07:05 ID:1tsZiC1v0
自宅鯖でp2使ってるんだけど対処したほうがいいのかな
167 :
名無しさん@6周年:2005/11/04(金) 19:07:09 ID:o4DdR2k40
またPHP出版か!!!
>>165 コバルトRaQ550(PHP4.0.6)なら下記の手順でアップグレード可能っぽい
[RAQ550の場合下記の準備をする]
・/usr/lib/apache/libphp4.soをlibphp4.0.6.soにリネームする
・/etc/admserv/conf/httpd.conf内のlibphp4.soの記述をlibphp4.0.6.soに書き換える
・/usr/local/src/ に最新のPHPのtarをダウンロードする
・php-4.3.11フォルダを作成し解凍する
・configureコマンドを実行
・make install
・/etc/rc.d/init.d/httpd restart
(念のためphp.iniを確認する)
完了
うちのRaQサーバーで4.3.11にしたときはこれでいけました
169 :
TRONφ ★:2005/11/04(金) 20:15:33 ID:???0
常時age
漏まいら、そんなに心配ならhttpd chrootしれ
171 :
名無しさん@6周年:2005/11/04(金) 20:22:18 ID:m+wfF9bOO
>>166 踏み台にされてしまうかもしれんから
直すのがよいと思われ。
特にp2はPEAR使ってるし
172 :
168:2005/11/04(金) 20:24:21 ID:izMPuH/V0
173 :
TRONφ ★:2005/11/04(金) 20:52:06 ID:???0
age
174 :
名無しさん@6周年:2005/11/04(金) 21:02:29 ID:tL3GEdf+0
共用サーバ(WebARENA)でregister_globals=onなんだが、$GLOBALSは使ってない。
これってどう対処したらいいんだ?
>>174 suite2ならPHP自体をアップデートするらしいから放っておけば。
さっき案内が来たよ。
176 :
名無しさん@6周年:2005/11/04(金) 21:07:02 ID:8cF97rOG0
xoopsはどうすれば?
177 :
名無しさん@6周年:2005/11/04(金) 21:16:00 ID:izMPuH/V0
>>175 それで安心してしまうとアカンような気がするね
次のセキュリティホールが見つかったとき・・
>>178 でも、どのみち新バージョンに合わせて全スクリプトの精査しなきゃならんけど…orz
180 :
158:2005/11/04(金) 22:47:01 ID:pX9kw8yN0
>>159 試したよ。
望みどおり、multipart/form-dataなRequestだけ排除できたよん。
これで、ソース書き換えの間の時間稼ぎになればと。
ありがとうございました。
181 :
163:2005/11/04(金) 22:57:11 ID:Kp52kz2h0
>>168 うわっ、こんなに懇切丁寧なレス頂くとは。
現実逃避の為に一日中開発に没頭してましたが重い腰あげてみます。
でもうちってテスト環境もねーからとりあえずraQ550もう一台確保するところからっス。
orz
でも情報感謝です。
ほうとに(・∀・) ありがとう!!
182 :
TRONφ ★:2005/11/04(金) 23:00:04 ID:???0
age
うちのとこは今日はソースの書き換えを行って、明日から二日間でテスト。
まあ、半日もあれば終わるだろうけど。ちょうど休みの間の平日で通常業務も少なかったから
運がよかったみたい。
184 :
名無しさん@6周年:2005/11/04(金) 23:37:59 ID:bwc0jBB60
出版社じゃないのか
185 :
TRONφ ★:2005/11/05(土) 00:59:00 ID:???0
age
けっこういるんだな。
おれはバージョン上げたときに全部書き直しておいた。
メンテが楽だからと当然のように主張したぞ。あり組自慢。
187 :
名無しさん@6周年:2005/11/05(土) 09:05:32 ID:EMcV3fkE0
だいぶ落ち着いてきたかな?
この土日がなくなった人、手を上げて〜 ノシ
188 :
名無しさん@6周年:2005/11/05(土) 09:08:37 ID:64UX/26e0
(´・ェ・`)ノシ
189 :
名無しさん@6周年:2005/11/05(土) 09:12:56 ID:LB0ru6/X0
t
190 :
名無しさん@6周年:2005/11/05(土) 09:18:56 ID:IYDk4+DOO
意味わからん。
俺にはきっと関係ない。
1しか読んでないけど
こういうのってここに載せるような記事なわけなんだろうか?
しかも下がってるのを
>>1がアゲるのもどうかと思うよ。
redhat9用にrpm作ってくれないかな。
193 :
名無しさん@6周年:2005/11/05(土) 09:31:09 ID:rMYiMiqp0
Java の方が扱いやすいよ。PHPって生産性よくない希ガス。
194 :
名無しさん@6周年:2005/11/05(土) 09:34:49 ID:ekaoy/mYO
PHP文庫でハァハァしながらオナホでフィニッシュする俺は最悪ですかそうですか。
195 :
名無しさん@6周年:2005/11/05(土) 10:43:58 ID:EMcV3fkE0
セキュリティに対する危機感持ってるヤツ少ないな
みんな個人情報とかは扱ってないのかな?
>>193 JDKビルドの際になぜか必ずコンパイルエラーが出る。
CPUがP54C-133なのが問題なのかっ!
うちのサイトのアクセスログみるとp2から来てるのが
結構居るんだよな。
おまいらちゃんと対策しておけよ
とりあえず、PHP 4.4.1にあげた。
でもregister_globals=onなので、スクリプトもなおしていかないとな〜
これってOSX標準のPHPも影響あるんだよ・・・ね?
3.3.11パッチあてるか4.4.1にまで上げたのならregister_globals=onでも良いんじゃねーの?
>>200 そうね、でも4.4.1はメール周り(mb_send_mail, mb_encode_mimeheader)がダメ
4.3.11用patchは未検証と、悩ましいよね
今のところ問題は出てないようなので4.3.11+patchが正解かな?
誰か当てて問題なく運用しているっていう人いる?
>>202 はぁ、複雑すぎよね。安心して使えるバージョンはまだかな。。。
じゃあ4.3.11を利用するときには、
今回のセキュリティホール用パッチとmb_(detect|convert)_encodingパッチを当てて利用ってことで。
4.4.1まで上げて、mb_send_mailまわりは自力変換かjcode.phpあたりでラッパー関数作るか。
4.4.0から定数参照の仕様が変わったとかもあるんだっけな、参照引数に直接値渡してないか
全部調べるのめんどくせーなぁ…
標準関数なんてどれが参照渡しなのか把握してねーよ…
mb_send_mail 、うちでは大丈夫だったなぁ。
これがだめだった。
$subject = i18n_mime_header_encode(mb_convert_encoding($subject "JIS", "EUC-JP"));
mail($mail_to, $subject $honbun, $mail_from);
なぜか subject が ISO-2022-JP じゃなく UTF-8 になってた。
206 :
名無しさん@6周年:2005/11/05(土) 17:50:32 ID:TT9Lf0GR0
4がでても、mbまわり不安だったので、今だに3.0.18-ja のままです。
207 :
名無しさん@6周年:2005/11/05(土) 19:43:14 ID:wVraGpA70
4.4.2 Devってどこにある?
208 :
名無しさん@6周年:2005/11/06(日) 08:38:13 ID:xBPNip1b0
しかしなんだな、
ニュー速にはプログラマが多いと言うことか?
逆にWebProg板はこっちに誘導するようなクズばっかなんだよな
211 :
名無しさん@6周年:2005/11/06(日) 11:13:11 ID:fPjEzqZE0
まずいバージョンでregister_globals=onで、
複数の企業がユーザのサイトだけど、
こんな問題放置だよ。
だって修正費用安いから。
一度全データハッキングされねえかな?と思ってるんだけどな。
(ノ∀`)アチャ-今知った
register_globalsはOffだったけど、
本家だけじゃなく日本PHPユーザ会もお参りしないとダメですね。
Cの頃は結構グローバル使ってたよ。
オープンソースとか、名が知れたスクリプトを使ってないサイトじゃ、攻撃するにしても変数名一つ探り当てるにも膨大な手間と推理が必要じゃね?
実際のとこ、自分で書いたスクリプトだったらまず安心だな。
大垣氏が公開してるって・・・
会長がパッチ作るユーザ会って廃れてる印象すら受けるな