[PHP-users 16580]Re: URL埋め込みセッションIDにおける脆弱性?Fw:JPCERT/CCREPORT 2003-07-09

komura komura @ ma9.seikyou.ne.jp
2003年 7月 9日 (水) 14:04:41 JST 

komura です。

On Wed, 09 Jul 2003 11:35:26 +0900
"Y.Watanabe" <yuw @ msj.biglobe.ne.jp> wrote:

> -------------------forwarded message-----------------------
> Date:     Wed, 09 Jul 2003 10:36:37 +0900
> Subject:  JPCERT/CC REPORT 2003-07-09
> From:     JPCERT/CC <info @ jpcert.or.jp>
> To:       announce @ jpcert.or.jp
> Reply-To: editor @ jpcert.or.jp
> 
> 
> [1] CIAC Bulletin N-112
>     Red Hat Updated PHP Packages Fix Bugs
>     http://www.ciac.org/ciac/bulletins/n-112.shtml
> 
> PHP バージョン 4.3.1 およびそれ以前には、クロスサイトスクリプティング
> の脆弱性があります。この問題は、PHP をバージョン 4.3.2 (もしくはそれ以
> 降) に更新する、またはベンダや配布元が提供する修正済みのパッケージに更
> 新することで解決します。
> 
>   関連文書 (英語)
>     Red Hat Linux Security Advisory RHSA-2003:204-11
>     Updated PHP packages are now available
>     https://rhn.redhat.com/errata/RHSA-2003-204.html
> 
> -------------------forwarded message end-------------------
> 
> これって「お初」な情報でしょうか?
> (前にもどっかで見たような、見なかったような・・・)

BugTraq などには、5月末から6月始めあたりに出ていました。

PHP Trans SID XSS (Was: New php release with security fixes)
http://www.securityfocus.com/archive/1/323420/2003-05-27/2003-06-02/0
http://www.securityfocus.com/bid/7761


先ほど情報元のサイトを見に行ったのですが、接続できませんでしたので、
Google のキャッシュを参考にすると良いと思います。

http://216.239.53.104/search?q=cache:WMv6LUh6BuIJ:shh.thathost.com/secadv/2003-05-11-php.txt+&hl=ja&ie=UTF-8


> 要するに、
>   PHP4.3.1及びそれ以前のバージョンでは、
>   session.use_trans_sid の設定をオンにしていると、
>   URL埋め込みでセッションIDを受け取るときに
>   PHPは何のエスケープもせずにそれを使っちゃうから
>   そこを突いてクロスサイトスクリプティング攻撃されちゃう
>   恐れがあるよーん・・・。
> 
> ということですよね?
> RedHatに限らないことだと思うのですがコレ?

PHP 4.3.1 以前を使用していて、session.use_trans_sid をオンにしている
場合は、影響を受けるようです。


> ちなみに、僕自身は、以前からPHP4.3.X上で
> session.use_only_cookies = 1
> にすることによって、セッションIDをクッキーからしか
> 受け取らないようにしてるからある程度防御できてると
> 思ってるのですが・・・まだ甘い?

その場合だと、session.use_trans_sid = 0 にしておけば問題にならない
と思います。


後、別件ですが、もう一つ、クロスサイトスクリプティングの問題として、

PHP XSS exploit in phpinfo()
http://www.securityfocus.com/archive/1/323820/2003-05-29/2003-06-04/0
http://www.securityfocus.com/bid/7805

も BugTraq に流れていましたが、RedHat のパッケージでは修正されているので
しょうか?

個人的には、ホスティングを行っているサーバなどで、phpinfo() が使用できる
ようになっている場合、こちらも影響が大きそうに感じました。

-- 
komura <komura @ ma9.seikyou.ne.jp>

PHP-users メーリングリストの案内