[PHP-users 4904] Re: [SECURITY]:PHP4 session spoofing exploit
Yasuo Ohgaki
php-users@php.gr.jp
Wed, 23 Jan 2002 07:56:02 +0900
R OKADA wrote:
> 岡田@テューンビズ(PHPカンファレンスセキュリティ担当)です。
>
> 誰か流すかなーと思ってみていたんですが、どなたも流されないようなので
> 情報を流しておきます。後述するBUGTRAQからの記事よりの抜粋情報を日本語
> でお書きしますね。
>
> 少なくとも、PHPの以下のバージョンにおいては、サーバのセッションIDが
> ハイジャックされる危険があります。
>
> PHP 4.0.4
> PHP 4.0.5
> PHP 4.0.6
> PHP 4.1
> PHP 4.1.1
追加:
もっと古いバージョンでも同じです。
もっとも、PHP 4.0.4pl1より古いバージョンを使うのは問題外ですが、、
あまりに明らかなセキュリティーリスクなので最近まで明記されていま
せんでしたが、一般ユーザーがshell accessしない環境であれば、リ
スクはそれほど高くありません。
files session save handlerを使うよりはmsession
session_pgsqlを利用される事をお勧めします。
(Windowsでは使えませんが)
--
Yasuo Ohgaki
yohgaki@dd.iij4u.or.jp
__________________________________________________
Do You Yahoo!?
Yahoo! BB is Broadband by Yahoo! http://bb.yahoo.co.jp/