PHP4.4.0以前と5.0.5以前に重大なセキュリティホール 67
ストーリー by Acanthopanax
register_globals=off 部門より
register_globals=off 部門より
sacoz曰く、"IT Proの記事によると、Hardened-PHP ProjectによってPHP4の4.4.0以前のバージョンと5.0.5以前のバージョンに対して深刻なセキュリティーホールが発見されたとのこと。このセキュリティーホールを利用されると、リモートからPHPスクリプトを実行されてしまうらしい。"
また、Anonymous Coward曰く、"「ファイル・アップロードでグローバル・シンボル・テーブル$GLOBALSが書き換えられる」というものらしく、詳細については2005/11/03のyohgaki's blogの記事に解説がある。"
技術的な詳細は (スコア:3, 参考になる)
W3C準拠のサイトなのでW3C信者の方も安心して観覧できます。
Re:技術的な詳細は (スコア:3, すばらしい洞察)
おまい「Valid XHTML 1.0!」マークを見ただけでリンクたどってねーだろ。
# Amazonめ......
Re:W3C信者の方も安心 (スコア:2, おもしろおかしい)
もっとステータスバーに文字が流れたり、
BLINKタグを使用して、開いたとたんヘッポコMIDIが
じゃんじゃん鳴り響き、隠しページがあるって事を
ことさら強調するような、見てるだけでテンションが
あがるページのほうが、飛び石連休の谷間な気分で
気が利いてるんですけど無いですかそういうページ。
#嘘です
あるよ (スコア:1)
Re:W3C信者の方も安心 (スコア:0)
Re:W3C信者の方も安心 (スコア:1)
怒られたのかな?
#にしても件のセキュリティホールだがレン鯖民は死ぬのを待つだけだろうか。
Re:W3C信者の方も安心 (スコア:0)
Re:W3C信者の方も安心 (スコア:0)
Re:技術的な詳細は (スコア:2, 興味深い)
「自分はregister_globalsをonにしてる*1けど、ちゃんととかやって変数を初期化してから使ってるから大丈夫」
と思ってると、実は(PHP4.4.0以下、PHP5.0.5以下では)上の文では変数$hogeが初期化されない(ように攻撃者がしむけることができる)ので危ないよ、ということなんでしょうか?
*1: import_request_variables()やそれと等価な処理を手書きした場合も含む。
えらそうなこというな (スコア:0, フレームのもと)
#ほらぁ、Googleアフリエイトのところ。
Re:えらそうなこというな (スコア:1, すばらしい洞察)
Re:えらそうなこというな (スコア:1)
validなんだけど、obsoleteだと言われます...
"This feed is valid, but may cause problems for some users. We recommend fixing these problems."
Re:えらそうなこというな (スコア:0)
Re:えらそうなこというな (スコア:0)
提携型の公告(特定の企業と提携してそこ経由での売り上げの1割などが貰える)をアフィリエイトと呼ぶんですよ。
Google Adsence はクリック式課金なのでアフィリエイトじゃありません。
ついでにFirefoxやOperaだと全く崩れてないんですが、 どんなブラウザをお使いですかね?
あなたがご利用のブラウザのCSS実装バグだと思いますが
Re:えらそうなこというな (スコア:1)
「o」が多すぎた?
Re:えらそうなこというな (スコア:0)
ますます何使ってるのか疑問w
Re:えらそうなこというな (スコア:0)
Re:えらそうなこというな (スコア:0)
Mozilla JapanはMozilla Foundationの公式アフィリエイトですが、多分、クリック数でお金をもらっていないと思いますよ。
Re:えらそうなこというな (スコア:0)
私はクリック報酬型のGoogle Adsenceはアフィリエイトじゃないといったんですが。
そもそもIT用語としてのアフィリエイトのこと
IT用語辞典でひくとちゃんとでる
アフィリエイト [srad.jp]
Re:えらそうなこというな (スコア:0)
ま、それは良いとして、アドセンスはアフィリエイトに含まれないとは書いてない。
単にアフィリエイトの典型的1形態として「商品が売れた場合に報酬が発生する」という成果報酬型広告に付いて書かれているだけでしょう。
また、はてなでの語義としては
と、より広い意味で書かれているし、米
Re:えらそうなこというな (スコア:0)
Re:えらそうなこというな (スコア:0)
そんなに自分が世間知らずだと力いっぱい力説されても・・・
ググってみなされ。いくらでもアドセンスを含んでアフィリエイトと言ってるサイトは出てくるから。
>それをあえて外している意図を教えてください。
その続いている部分は、アフィリエイトの典型的一形態である成果報酬型の仕組みに付いて説明しているだけで、クリック報酬型はアフィリエイトとは言わないとは書いてないでしょ。
#825637以降では「アドセンスなどのクリック報酬型をアフィリエイトと呼ぶかどうか」に付いて話しているのに「成果報酬型をアフィリエイトと呼ぶ」という事を再確認しても何の意味も無いので外しただけですよ。
あなたは世間知らずなだけではなく、論理学も苦手なようですね。
スラッシュドットはいつになったらW3C準拠になるの? (スコア:0)
本家はW3C準拠の HTML 4.01 + CSS なのに。
テーブルレイアウトなんて重くてしょうがない。
Yahoo! だって http://www.yahoo.com/ はCSSレイアウトなのに、
http://www.yahoo.co.jp/ はテーブルレイアウトなんだろう。
またregister_globalsか! (スコア:2, すばらしい洞察)
Re:またregister_globalsか! (スコア:0)
register_globalsを利用のライブラリは使ってない? (スコア:1, 参考になる)
Bug Fix + Bug Addition (スコア:1, 参考になる)
Re:Bug Fix + Bug Addition (スコア:2, 参考になる)
PHP 4.4.1ではmb_send_mailの第5引数が使えない [php.gr.jp]ようなので、アップデートの際はご注意。
Re:Bug Fix + Bug Addition (スコア:0)
せめて、リンク先よんでからモデレートしようね。
随分と温度差があるな (スコア:0)
ここの様にほとんどスルーというか嘲笑に近い所もある。
PHPってそういう存在なのね。
Re:随分と温度差があるな (スコア:2, すばらしい洞察)
それはWindowsだろうとLinuxだろうとPHPだろうと何だろうと同じではないかと。
何も知らない一般ユーザーが重大な脆弱性だえらいこっちゃと騒ぐのは
しょうがないとしても、システム管理者なら騒いでいるヒマで段取り組んで
作業するのが一番いいでしょう。
#と理想論を語ってみる週間。
Re:随分と温度差があるな (スコア:1)
#とまた理想論をふりかざしてみるテスト
Re:随分と温度差があるな (スコア:1, すばらしい洞察)
具体的には、register_globalsからの脱却をとっくに済ましている人にとっては、さくっとパッチ当てるだけで済む話
そうじゃない人が大騒ぎするだけで、そういう人は多分今後も騒ぐだろうね。
どうせregister_globals絡みの脆弱性はこれが最後じゃないだろうし
# ここがスルーなのは、わかってる層はとっくに居なくなってしまって、技術話の出来ない層しか残ってないからじゃないの?
Re:随分と温度差があるな (スコア:0)
Re:随分と温度差があるな (スコア:0)
Re:随分と温度差があるな (スコア:0)
Re:随分と温度差があるな (スコア:1, おもしろおかしい)
Re:随分と温度差があるな (スコア:0)
Re:またかよ! (スコア:0)
》んなProgramingLanguage使えるかヴォケ。
「セキュリティホール」と「言語」は本来無関係です。勉強が足りませんね。
Re:またかよ! (スコア:5, 参考になる)
変数汚染の概念などをしっかりと踏まえるべきです.
perlのtaintモード [ipa.go.jp]
rubyのセキュリティモデル [anesth.or.jp]
perlのtaintモードは,セキュリティ機構(変数汚染の概念)を実装レベルで実現しています.
一方比較的新しい言語であるrubyでは言語レベルでセキュリティ機構をサポートしているといって差し支えないと思います.
そういう言う意味で今回のPHPの問題は本質的です.
つまり,PHPには変数汚染の概念が無いため,
PHPエンジンの実装上の不備により
PHPで書かれたアプリケーション(pukiwukiとか)にまでセキュリティホールが出来てしまったわけです.
Re:またかよ! (スコア:1, 参考になる)
あくまでも、万が一に備えた保険でしょ。
untaint しまくる馬鹿とかもいるしね。
Rubyのセーフモード?
こないだ脆弱性みつかったばかりじゃん。
仕様もはっきりしないいい加減なものなんじゃないの?
>つまり,PHPには変数汚染の概念が無いため,
>PHPエンジンの実装上の不備により
そういう問題じゃない。問題の所在が全然違う。
いい加減なこと言うなよ。
Re:またかよ! (スコア:1, 興味深い)
>こないだ脆弱性みつかったばかりじゃん。
>仕様もはっきりしないいい加減なものなんじゃないの?
他人をいい加減だと非難するなら、まず何も知らずに非難する自分自身を非難しなさい。仕様ははっきりしてます。あなたには仕様が理解できないのでしょうが、理解できないことをいい加減と言い換えるのは間抜けです。
それと一度脆弱性が見つかったものは永遠に信用しないというポリシーの表明でしょうか?それはそれでご立派なポリシーですが現実的ではないと思いますよ。
>taint モードに期待したプログラミングなんて、論外。
>あくまでも、万が一に備えた保険でしょ。
誰もtaintに頼りっきりのプログラミングの話などしていません。そのような幻想が頭をよぎるのは、実はあなた自身がそれで失敗しており、しかもそれがトラウマになっているからなんじゃないですか?
昔Cにプロトタイプが導入されたときに似たような議論があったようなデジャブに襲われてます。いわく「プロトタイプではバグはなくならない」「プロトタイプに安心してバグの発見が遅れる」「プロトタイプを書かないバカがいるから無駄だ」。そんな事は言われなくてもわかっている当然のことです。それでも利点の方が多いと思うから使うんです。あなたのtaintに対する態度にしても同じです。いまさら何をいってるんでしょうか。
Re:またかよ! (スコア:0)
なにかあって、はじめて保険のありがたみがわかる。
Re:またかよ! (スコア:0)
何それ? って感じ。
Re:またかよ! (スコア:2, 参考になる)
エラー出力レベルの設定で、E_NOTICEとかE_STRICTとか使えば、いろいろ警告を出してくれたような、、、どうだったかな。エラー処理およびログ記録関数 [php.net]あたりをみて思い出し中。。。
Re:またかよ! (スコア:1)
「なんでエラーが出ないようにできるの?何それ?」
じゃないとだめだった、と。
norimu
Re:またかよ! (スコア:0)
それが嫌なら、別の言語を使えばいいということで。
Re:またかよ! (スコア:2, すばらしい洞察)
問題はそれを大規模なシステムに使っちゃう, というか大規模なシステムであってもそれしか使えない人間の側にあるんですが.
この問題って30年ぐらい前から変わらずに言いつづけられていますけどね.
Re:またかよ! (スコア:0)
どこでどうボケてるんだか理解不能なんですが。
どのへんが「おもしろおかしい」んだか詳説きぼん
Re:またかよ! (スコア:0)
/Perl/{
s/Perl/####/
s/Perl/sed/g
s/####/Perl/
}