[PHP-users 8830] Re: PHP 4.2.2リリース
R/OKADA
php-users@php.gr.jp
Tue, 23 Jul 2002 10:13:23 +0900
テックスタイル岡田です。
At Mon, 22 Jul 2002 23:36:34 +0900,Masaki Fujimotoさんのメールより:
>--- from http://jp2.php.net/release_4_2_2.php ---
>
>PHP GroupはPHP 4.2.0と4.2.1に重大な脆弱性があることを突き止めました。侵
>入者はウェブサーバの動作権限(*)で任意のコードを実行することが出来ます。
>この脆弱性によりウェブサーバは危険な状態となり、特定の条件下において一定
>の権限を持ったアクセスを許容することになります。
>
>(*訳注)この意味がhttpd自体の動作権限 == (通常)rootなのか、ウェブサーバ上
>で動作するアプリケーションの動作権限なのか、この文脈からははっきりとは分
>かりません。恐らく後者かと思いますが、まだ何にも調べてないし、パッチさえ
>見ていないのではっきりとは分かりませんが:(
設定によるので一概に言えませんが、Linuxなどでは、最近は apacheとか
www-dataとかというユーザ権限でサーバを立ち上げますね。rootのままの運用
はお勧めできないしあり得ないのではないでしょうか。
で、www-dataなりapacheなりという権限を悪用され、自由な動作権限がわたっ
てしまった場合のリスクとして非常に手短でわかりやすいのは、サーバ上の
WEBコンテンツの改ざんです。とりもなおさず、WEBコンテンツはそのユーザで
の書き込み権限を与えていることがほとんどであろうと考えられるからです。
ご参考まで。
+ Best regards,
R I O T A R O O K A D A
2-1-14 TSUKIJI CHUO-KU TOKYO,JAPAN
http://tunebiz.net/
http://techstyle.jp/
http://slashdot.jp/~okdt/journal/