[PHP-users 4904] Re: [SECURITY]:PHP4 session spoofing exploit

Yasuo Ohgaki php-users@php.gr.jp
Wed, 23 Jan 2002 07:56:02 +0900


R OKADA wrote:
> 岡田@テューンビズ(PHPカンファレンスセキュリティ担当)です。
> 
> 誰か流すかなーと思ってみていたんですが、どなたも流されないようなので
> 情報を流しておきます。後述するBUGTRAQからの記事よりの抜粋情報を日本語
> でお書きしますね。
> 
> 少なくとも、PHPの以下のバージョンにおいては、サーバのセッションIDが
> ハイジャックされる危険があります。
> 
> PHP 4.0.4
> PHP 4.0.5
> PHP 4.0.6
> PHP 4.1
> PHP 4.1.1

追加:

もっと古いバージョンでも同じです。
もっとも、PHP 4.0.4pl1より古いバージョンを使うのは問題外ですが、、

あまりに明らかなセキュリティーリスクなので最近まで明記されていま
せんでしたが、一般ユーザーがshell accessしない環境であれば、リ
スクはそれほど高くありません。

files session save handlerを使うよりはmsession
session_pgsqlを利用される事をお勧めします。
(Windowsでは使えませんが)

-- 
Yasuo Ohgaki
yohgaki@dd.iij4u.or.jp

__________________________________________________
Do You Yahoo!?
Yahoo! BB is Broadband by Yahoo!  http://bb.yahoo.co.jp/