!【緊急】開発言語PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を

このエントリーをはてなブックマークに追加
166名無しさん@6周年:2005/11/04(金) 19:07:05 ID:1tsZiC1v0
自宅鯖でp2使ってるんだけど対処したほうがいいのかな
167名無しさん@6周年:2005/11/04(金) 19:07:09 ID:o4DdR2k40
またPHP出版か!!!
168名無しさん@6周年:2005/11/04(金) 20:11:27 ID:izMPuH/V0
>>165
コバルトRaQ550(PHP4.0.6)なら下記の手順でアップグレード可能っぽい

[RAQ550の場合下記の準備をする]
・/usr/lib/apache/libphp4.soをlibphp4.0.6.soにリネームする
・/etc/admserv/conf/httpd.conf内のlibphp4.soの記述をlibphp4.0.6.soに書き換える

・/usr/local/src/ に最新のPHPのtarをダウンロードする
・php-4.3.11フォルダを作成し解凍する

・configureコマンドを実行
・make install
・/etc/rc.d/init.d/httpd restart

(念のためphp.iniを確認する)
完了

うちのRaQサーバーで4.3.11にしたときはこれでいけました
169TRONφ ★:2005/11/04(金) 20:15:33 ID:???0
常時age
170名無しさん@6周年:2005/11/04(金) 20:21:43 ID:0Bun9cpP0
漏まいら、そんなに心配ならhttpd chrootしれ
171名無しさん@6周年:2005/11/04(金) 20:22:18 ID:m+wfF9bOO
>>166
踏み台にされてしまうかもしれんから
直すのがよいと思われ。

特にp2はPEAR使ってるし
172168:2005/11/04(金) 20:24:21 ID:izMPuH/V0
なんか違う気もするけどソースはたぶんこれだな
ttp://www.cobaltqube.org/ml/archive/coba-d/20030202.week/5107.html

共用サーバーで開発している方々はどうするんかね・・
173TRONφ ★:2005/11/04(金) 20:52:06 ID:???0
age
174名無しさん@6周年:2005/11/04(金) 21:02:29 ID:tL3GEdf+0
共用サーバ(WebARENA)でregister_globals=onなんだが、$GLOBALSは使ってない。
これってどう対処したらいいんだ?
175名無しさん@6周年:2005/11/04(金) 21:06:20 ID:bW76/IBZ0
>>174
suite2ならPHP自体をアップデートするらしいから放っておけば。
さっき案内が来たよ。
176名無しさん@6周年:2005/11/04(金) 21:07:02 ID:8cF97rOG0
xoopsはどうすれば?
177名無しさん@6周年:2005/11/04(金) 21:16:00 ID:izMPuH/V0
>>175
それで安心してしまうとアカンような気がするね
次のセキュリティホールが見つかったとき・・
178名無しさん@6周年:2005/11/04(金) 21:19:42 ID:tL3GEdf+0
>>175
ほんとだ、サンキュ
179名無しさん@6周年:2005/11/04(金) 21:31:07 ID:bW76/IBZ0
>>178
でも、どのみち新バージョンに合わせて全スクリプトの精査しなきゃならんけど…orz
180158:2005/11/04(金) 22:47:01 ID:pX9kw8yN0
>>159
試したよ。
望みどおり、multipart/form-dataなRequestだけ排除できたよん。
これで、ソース書き換えの間の時間稼ぎになればと。
ありがとうございました。
181163:2005/11/04(金) 22:57:11 ID:Kp52kz2h0
>>168

うわっ、こんなに懇切丁寧なレス頂くとは。
現実逃避の為に一日中開発に没頭してましたが重い腰あげてみます。
でもうちってテスト環境もねーからとりあえずraQ550もう一台確保するところからっス。
orz
でも情報感謝です。
ほうとに(・∀・) ありがとう!!
182TRONφ ★:2005/11/04(金) 23:00:04 ID:???0
age
183名無しさん@6周年:2005/11/04(金) 23:33:23 ID:IM+he6x90
うちのとこは今日はソースの書き換えを行って、明日から二日間でテスト。
まあ、半日もあれば終わるだろうけど。ちょうど休みの間の平日で通常業務も少なかったから
運がよかったみたい。
184名無しさん@6周年:2005/11/04(金) 23:37:59 ID:bwc0jBB60
出版社じゃないのか
185TRONφ ★:2005/11/05(土) 00:59:00 ID:???0
age
186名無しさん@6周年:2005/11/05(土) 01:21:23 ID:jwOf9Ba00
けっこういるんだな。
おれはバージョン上げたときに全部書き直しておいた。
メンテが楽だからと当然のように主張したぞ。あり組自慢。
187名無しさん@6周年:2005/11/05(土) 09:05:32 ID:EMcV3fkE0
だいぶ落ち着いてきたかな?

この土日がなくなった人、手を上げて〜  ノシ
188名無しさん@6周年:2005/11/05(土) 09:08:37 ID:64UX/26e0
(´・ェ・`)ノシ
189名無しさん@6周年:2005/11/05(土) 09:12:56 ID:LB0ru6/X0
t
190名無しさん@6周年:2005/11/05(土) 09:18:56 ID:IYDk4+DOO
意味わからん。
俺にはきっと関係ない。
1しか読んでないけど
191名無しさん@6周年:2005/11/05(土) 09:23:43 ID:EejKYwA+0
こういうのってここに載せるような記事なわけなんだろうか?
しかも下がってるのを>>1がアゲるのもどうかと思うよ。
192名無しさん@6周年:2005/11/05(土) 09:28:42 ID:T9togl5r0
redhat9用にrpm作ってくれないかな。
193名無しさん@6周年:2005/11/05(土) 09:31:09 ID:rMYiMiqp0
Java の方が扱いやすいよ。PHPって生産性よくない希ガス。
194名無しさん@6周年:2005/11/05(土) 09:34:49 ID:ekaoy/mYO
PHP文庫でハァハァしながらオナホでフィニッシュする俺は最悪ですかそうですか。
195名無しさん@6周年:2005/11/05(土) 10:43:58 ID:EMcV3fkE0
セキュリティに対する危機感持ってるヤツ少ないな
みんな個人情報とかは扱ってないのかな?
196名無しさん@6周年:2005/11/05(土) 11:00:51 ID:vmBzc3Br0
>>193
JDKビルドの際になぜか必ずコンパイルエラーが出る。

CPUがP54C-133なのが問題なのかっ!
197名無しさん@6周年:2005/11/05(土) 11:14:35 ID:ZItdZ1D50
うちのサイトのアクセスログみるとp2から来てるのが
結構居るんだよな。
おまいらちゃんと対策しておけよ
198名無しさん@6周年:2005/11/05(土) 11:36:58 ID:64UX/26e0
とりあえず、PHP 4.4.1にあげた。
でもregister_globals=onなので、スクリプトもなおしていかないとな〜
199名無しさん@6周年:2005/11/05(土) 12:31:06 ID:Of8JEb1R0
これってOSX標準のPHPも影響あるんだよ・・・ね?
200名無しさん@6周年:2005/11/05(土) 12:31:11 ID:IhZ/96Pv0
3.3.11パッチあてるか4.4.1にまで上げたのならregister_globals=onでも良いんじゃねーの?
201名無しさん@6周年:2005/11/05(土) 14:16:05 ID:EMcV3fkE0
>>200
そうね、でも4.4.1はメール周り(mb_send_mail, mb_encode_mimeheader)がダメ
4.3.11用patchは未検証と、悩ましいよね

今のところ問題は出てないようなので4.3.11+patchが正解かな?
誰か当てて問題なく運用しているっていう人いる?
202名無しさん@6周年:2005/11/05(土) 14:57:31 ID:YFTKt0cI0
確かPHP 4.3.11 には mb_detect_encoding/mb_convert_encoding に問題があったはず。

[PHP-users 25298]
ttp://ns1.php.gr.jp/pipermail/php-users/2005-April/025814.html

PHP 4.3.11にするなら、ついでにこの問題に対するpatchを適用しておいた方が安全かも。
ttp://cvs.php.net/diff.php/php-src/ext/mbstring/libmbfl/mbfl/mbfilter.c?r1=1.1.2.6&r2=1.1.2.7&ty=u
203名無しさん@6周年:2005/11/05(土) 15:12:10 ID:EMcV3fkE0
>>202
はぁ、複雑すぎよね。安心して使えるバージョンはまだかな。。。

じゃあ4.3.11を利用するときには、
今回のセキュリティホール用パッチとmb_(detect|convert)_encodingパッチを当てて利用ってことで。
204名無しさん@6周年:2005/11/05(土) 15:30:51 ID:IhZ/96Pv0
4.4.1まで上げて、mb_send_mailまわりは自力変換かjcode.phpあたりでラッパー関数作るか。
4.4.0から定数参照の仕様が変わったとかもあるんだっけな、参照引数に直接値渡してないか
全部調べるのめんどくせーなぁ…
標準関数なんてどれが参照渡しなのか把握してねーよ…
205名無しさん@6周年:2005/11/05(土) 17:18:11 ID:64UX/26e0
mb_send_mail 、うちでは大丈夫だったなぁ。

これがだめだった。
$subject = i18n_mime_header_encode(mb_convert_encoding($subject "JIS", "EUC-JP"));
mail($mail_to, $subject $honbun, $mail_from);

なぜか subject が ISO-2022-JP じゃなく UTF-8 になってた。
206名無しさん@6周年:2005/11/05(土) 17:50:32 ID:TT9Lf0GR0
4がでても、mbまわり不安だったので、今だに3.0.18-ja のままです。
207名無しさん@6周年:2005/11/05(土) 19:43:14 ID:wVraGpA70
4.4.2 Devってどこにある?
208名無しさん@6周年:2005/11/06(日) 08:38:13 ID:xBPNip1b0
初心者向けで分かりやすい
http://www.pahoo.org/e-soul/webtech/php01/php02-01.shtm
209名無しさん@6周年:2005/11/06(日) 08:45:30 ID:t5OEgdqp0
しかしなんだな、
ニュー速にはプログラマが多いと言うことか?
210名無しさん@6周年:2005/11/06(日) 10:58:17 ID:qcEwmEtC0
逆にWebProg板はこっちに誘導するようなクズばっかなんだよな
211名無しさん@6周年:2005/11/06(日) 11:13:11 ID:fPjEzqZE0
まずいバージョンでregister_globals=onで、
複数の企業がユーザのサイトだけど、
こんな問題放置だよ。
だって修正費用安いから。
一度全データハッキングされねえかな?と思ってるんだけどな。
212名無しさん@6周年:2005/11/06(日) 19:07:07 ID:AwQlRPUO0
(ノ∀`)アチャ-今知った
register_globalsはOffだったけど、
本家だけじゃなく日本PHPユーザ会もお参りしないとダメですね。
Cの頃は結構グローバル使ってたよ。
213名無しさん@6周年:2005/11/06(日) 23:11:16 ID:MyXFFS9y0
オープンソースとか、名が知れたスクリプトを使ってないサイトじゃ、攻撃するにしても変数名一つ探り当てるにも膨大な手間と推理が必要じゃね?
実際のとこ、自分で書いたスクリプトだったらまず安心だな。
214名無しさん@6周年:2005/11/07(月) 01:27:46 ID:YDoCNglk0
http://ns1.php.gr.jp/pipermail/php-users/2005-November/027861.html
これに対してエラい人が「間違ってる」って言わないってことは

>この結果を見る限り、(register_globals=offを前提で)プログラム
>中で$GLOBALS配列を使っていない限り、影響は受けないのかなぁ。。。

これは的を得てるってことなんかな?
215名無しさん@6周年
大垣氏が公開してるって・・・
会長がパッチ作るユーザ会って廃れてる印象すら受けるな