PHPに重大な脆弱性

PHPに重大な脆弱性 16

ストーリー by yourCat 2002年07月23日 16時12分
可及的速やかに4.2.2 部門より

take0m曰く、"先日、最も利用されているサーバサイドスクリプト言語となりましたPHPですが、ZDNetの記事によると、脆弱性が見つかったらしいです。CPUによって被害の範囲が異なるようですが、該当バージョンは4.2.0と4.2.1。現在は既に問題点を修正した4.2.2がリリース済みです。
みなさんも早くバージョンアップしてね。普及している製品に見つかると大変ですなぁ。"

IA32ならクラッシュ、その他は外部コントロールができるという。NetSecurityに各種リソースへのポインタがまとまっている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索16コメント Log In/Create an Account

ぎゃ、痛い。 (スコア:2, 興味深い)

by u400 (9958) on 2002年07月23日 20時36分 (#131688) ホームページ

PHPは結構頻繁に脆弱性が発見されますね。
人気の証拠なんだか、書き方が甘いんだか・・・

#ごく一部のPHPユーザのためにアップデートするのが億劫になってきた。
#別にサーバたてて管理もそっちでやってもらおうかなぁ。

とりあえず、自分の周りだけみるとPHPは使いやすいと言っている
人間の方がソースコードは汚く、埋め込みスクリプトのメリットが
全然生かせていないような気がする。
こんな人、周りにいませんか？
- Re:ぎゃ、痛い。 (スコア:3, おもしろおかしい)
  
  by L.star (163) on 2002年07月24日 0時23分 (#131849) ホームページ
  
  とりあえず、自分の周りだけみるとPHPは使いやすいと言っている人間の方がソースコードは汚く、埋め込みスクリプトのメリットが全然生かせていないような気がする。こんな人、周りにいませんか？
  ってか、こういう人たちのソースはメンテナンスを何ら考慮していないし概念もへったくれもないので、コンピューターでないと理解できません。
  ってかPHPに限らず何で書いてもくずソースしか量産できないと思いますけど。言語仕様が簡単＝PHPは使いやすいとしか理解できない人たちなんで。
  
  シェア
  
  親コメント
  - Re:ぎゃ、痛い。 (スコア:0)
    
    by Anonymous Coward
    
    > 言語仕様が簡単＝PHPは使いやすいとしか理解できない人たち
    あー、同意。
    perl でも似たようなことがあった。「変数の宣言をしなくていいから簡単」とかね。しかも、perl5 がでてから相当時間がたっているのに。
    結局そういう人たちって、php に限らず、何を使ってもだめなんだ。
- Re:ぎゃ、痛い。 (スコア:2, 興味深い)
  
  by koney (6658) on 2002年07月23日 23時53分 (#131827) ホームページ日記
  
  ここ最近多くて大変です。4.0.6と4.1.1とか、加えてapache。
  台数が増えるとアップデートだけで一日潰します。
  
  ここ最近、PHPのバージョンが上がるのが早いと思います。
  stableなリリースを出して、patchを出しつつ、しばらくリリースしない方が良いのではないかと。
  ＃追っかけたい人はCSV取得でローカルで遊んでる事でしょうし
  
  >とりあえず、自分の周りだけみるとPHPは使いやすいと言っている
  >人間の方がソースコードは汚く、埋め込みスクリプトのメリットが
  >全然生かせていないような気がする。
  >こんな人、周りにいませんか？
  
  変数のスコープと型を理解していない人に多いですな。
  PerlとVBからの移行組に多い様な。
  特に意味の無いOOPは辞めてくれませんか、と問いたい（以下略）
  
  使いやすいとは思いませんが、面倒が無くて効率の良い言語だと思います。
  HTTP周りを「正しく」理解して、CやPerlでCGI組んでいた人には分かるかと。
  ＃現段階では、Web用途かDBメンテ以外にメリット無いのですが
  
  PHPは使いにくい言語である、と一票。
  だが、言語仕様の変化と機能拡張につきあえれば楽しい言語かと。
  ＃いちおー、現在はPHPで飯を喰ってますです
  
  シェア
  
  親コメント
  - Re:ぎゃ、痛い。 (スコア:0)
    
    by Anonymous Coward
    
    使いにくいとまでは言いませんがソースの可読性が悪くなりやすい言語だとは感じています。
    PHP の構造、HTML の構造、JavaScript の構造が入り組んだときなんかは特に。
    インデントを使って書いてもすっきりしないしインデントがやたらと深くなりすぎて横 80 桁程度ではおさまらずぐち
    - コーディングスタイル (スコア:1, 参考になる)
      
      by Anonymous Coward on 2002年07月24日 8時46分 (#131988)
      
      > PHP で埋め込みスクリプトのメリットを活かした読みやすく生産性が高いソー
      > スを書くにはどんな点に注意したらいいんでしょうか？
      
      個人的には一番良いと思うスタイルは、極力スクリプトをHTMLに埋め込まない事だと思います。
      
      # JavaScriptは全部関数にして別ファイルとしてロード
      # PHPスクリプトも出力以外のコードは埋め込まない
      
      んんん。Java/JSPで作っても同じか。。。
      
      シェア
      
      親コメント
      - Re:コーディングスタイル (スコア:1)
        
        by white (2295) <{white} {at} {niu.ne.jp}> on 2002年07月24日 11時06分 (#132056) ホームページ
        
        まあ、同感。
        
        私の場合、DBアクセスや演算処理を前の方にまとめた上で、埋め込みスクリプト部分は後ろの方に固めてます。
        できれば前処理は外部のファイルに分け出して、includeなどで呼び出すように。MVCモデルでいうなら、M部分とV+C部分に分けるような感じ。こういう前提で考えるなら、PHPのクラス実装って悪くないです。
        
        シェア
        
        親コメント
        
        Re:コーディングスタイル (スコア:2, 参考になる)
        
        by mera (2504) on 2002年07月24日 15時43分 (#132221) ホームページ日記
        
        PHPのコーディングスタイルですが、使い始めた頃はHTMLの中に埋め込んでましたが２、３度のメンテをした後でこりじゃダメだと判断し、オールPHP(つまりいきなり＜？ｐｈｐ ではじまって？＞で終わるスタイルに切り替えました。　コードは完全に OOP にし、HTML は別ファイルでテンプレートにしておいて PHP から読み込んで特定のキーワードだけ置換して出力。　カレンダー表示やフォーム自動生成、フォーム入力チェック、DBアクセス等色々自前でライブラリを構築してかなり強力なフレームワークが構築できてしまいました。
        
        変数宣言のチェックが無いといういい加減な言語ですがそのいい加減さのおかげで動的に任意のクラスやオブジェクトを生成出来るのはかなり強力かと思います。
        
        唯一の悩みはバージョンアップすればする程互換性が失われていきそうなところですかね。
        
        --
        すらど宴会SNS開放中 [e-meet.jp]
        
        シェア
        
        親コメント
        
        Re:コーディングスタイル (スコア:1)
        
        by starman (1142) on 2002年07月24日 18時53分 (#132356)
        
        >オールPHP(つまりいきなり＜？ｐｈｐではじまって？＞で終わるスタイルに切り替えました。
        
        僕もそういうコードを見たことあるんですけど、そういう書き方するんだったら今使ってる perl で十分だなと思い、結局 php を使う機会を逃してる感じです。
        perl ではなく php を選ぶメリットって何がありますかね？
        
        シェア
        
        親コメント
        
        Re:コーディングスタイル (スコア:1)
        
        by mera (2504) on 2002年07月26日 15時47分 (#133555) ホームページ日記
        
        沈静化した頃に超遅レス(笑
        
        おそらく私がPHPのメリットを書き並べても「それくらいPerlにも出来る」という答えが返ってくる事でしょう。　その逆もあり得ると思います。　多分相性とか慣れとかの問題ではないでしょうか。
        
        ちなみに先ほどPerlで何か書いてみようと思いましたが指が動かないというか、すっかり体が忘れてしまっているようです。あいたたた・・・。
        
        まぁ、それでもリファレンス片手になら不自由無く書けはしますがそれならPHPを使った方が早いかなと(笑)
        
        --
        すらど宴会SNS開放中 [e-meet.jp]
        
        シェア
        
        親コメント
- Re:ぎゃ、痛い。 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2002年07月24日 0時05分 (#131834)
  
  > とりあえず、自分の周りだけみるとPHPは使いやすいと言っている
  > 人間の方がソースコードは汚く、埋め込みスクリプトのメリットが
  > 全然生かせていないような気がする。
  > こんな人、周りにいませんか？
  
  dbExpert ( http://haitaka.com/phpinfo/dbexpert.html )は凄まじい。
  展開するとphpファイルとreadmeの２つが出てくるんだけど、
  phpの方が10847行ある。
  
  よくこんなコードをメンテできるなー。
  
  シェア
  
  親コメント
さっき4.2.1をインストールしたばかり (スコア:1)

by deleted user (1544) on 2002年07月23日 16時59分 (#131559) ホームページ日記

だりー。
- ご愁傷様 (スコア:0)
  
  by Anonymous Coward
  
  昨日4.2.2がリリースされた時には脆弱性は公表されてたんだな。これが。
  こことか [php.gr.jp]、こことか [php.net]。。。
  
  更に、今朝の時点でZDNNにも掲載されてたりする [zdnet.co.jp]のです。。。
うむー (スコア:0)

by Anonymous Coward on 2002年07月23日 19時19分 (#131644)

Segmentation Fault で httpd が死ぬようになってしまった。
しかたないんで 4.1.2 にダウングレードしてみた。
- Re:うむー (スコア:3, 参考になる)
  
  by monitan (10472) on 2002年07月23日 20時24分 (#131680) 日記
  
  自分も, PHP 4.2.1 に挙げた時際, php のページを参照すると error_log に大量に segmentation fault が出力されましたが, ./configure に, --enable-rule=SHARED_CORE を設定したらうまく行きました.
  
  シェア
  
  親コメント
  - Re:うむー (スコア:0)
    
    by Anonymous Coward
    
    SHARED_CORE付けてるんだけどなぁ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

PHPに重大な脆弱性 16

PHPに重大な脆弱性 More ログイン

ぎゃ、痛い。 (スコア:2, 興味深い)

Re:ぎゃ、痛い。 (スコア:3, おもしろおかしい)

Re:ぎゃ、痛い。 (スコア:0)

Re:ぎゃ、痛い。 (スコア:2, 興味深い)

Re:ぎゃ、痛い。 (スコア:0)

コーディングスタイル (スコア:1, 参考になる)

Re:コーディングスタイル (スコア:1)

Re:コーディングスタイル (スコア:2, 参考になる)

Re:コーディングスタイル (スコア:1)

Re:コーディングスタイル (スコア:1)

Re:ぎゃ、痛い。 (スコア:1, 参考になる)

さっき4.2.1をインストールしたばかり (スコア:1)

ご愁傷様 (スコア:0)

うむー (スコア:0)

Re:うむー (スコア:3, 参考になる)

Re:うむー (スコア:0)

スラド