[PHP-users 16574]URL埋め込みセッションIDにおける脆弱性？Fw:JPCERT/CC REPORT 2003-07-09

[Y.Watanabe]

わたなべです。

いましがた来たJPCERTのメール見て、へっ？と思ったのですが、

-------------------forwarded message-----------------------
Date:     Wed, 09 Jul 2003 10:36:37 +0900
Subject:  JPCERT/CC REPORT 2003-07-09
From:     JPCERT/CC <info ＠ jpcert.or.jp>
To:       announce ＠ jpcert.or.jp
Reply-To: editor ＠ jpcert.or.jp


[1] CIAC Bulletin N-112
    Red Hat Updated PHP Packages Fix Bugs
    http://www.ciac.org/ciac/bulletins/n-112.shtml

PHP バージョン 4.3.1 およびそれ以前には、クロスサイトスクリプティング
の脆弱性があります。この問題は、PHP をバージョン 4.3.2 (もしくはそれ以
降) に更新する、またはベンダや配布元が提供する修正済みのパッケージに更
新することで解決します。

  関連文書 (英語)
    Red Hat Linux Security Advisory RHSA-2003:204-11
    Updated PHP packages are now available
    https://rhn.redhat.com/errata/RHSA-2003-204.html

-------------------forwarded message end-------------------

これって「お初」な情報でしょうか？
（前にもどっかで見たような、見なかったような・・・）

http://www.ciac.org/ciac/bulletins/n-112.shtml
によると、

PROBLEM: 
   There are a number of bugs in PHP shipped with versions 
   of Red Hat, and a minor security problem in the transparent 
   session ID functionality.  

SOFTWARE: 
   Red Hat 8.0 and 9  

DAMAGE:  
   In PHP version 4.3.1 and earlier, 
   when transparent session ID support is enabled 
   using the "session.use_trans_sid" option, 
   the session ID is not escaped before use. 
   This allows a Cross Site Scripting attack.  

SOLUTION: 
    Apply updated packages as stated in Red Hat's advisory.  

てなことが書いてありました。
要するに、
  PHP4.3.1及びそれ以前のバージョンでは、
  session.use_trans_sid の設定をオンにしていると、
  URL埋め込みでセッションIDを受け取るときに
  PHPは何のエスケープもせずにそれを使っちゃうから
  そこを突いてクロスサイトスクリプティング攻撃されちゃう
  恐れがあるよーん・・・。

ということですよね？
RedHatに限らないことだと思うのですがコレ？

ちなみに、僕自身は、以前からPHP4.3.X上で
session.use_only_cookies = 1
にすることによって、セッションIDをクッキーからしか
受け取らないようにしてるからある程度防御できてると
思ってるのですが・・・まだ甘い？

ご意見求む。