[PHP-users 22179] Re: PHP 4.3.7 Release Announcement

komura komura @ ma9.seikyou.ne.jp
2004年 6月 11日 (金) 13:51:06 JST


komura です。

On Fri, 11 Jun 2004 12:14:11 +0900
高橋 照知 <teru @ homes.co.jp> wrote:

> 4.3.7以前には重大なセキュリティホールが存在するとの報告がありました。
> 4.3.7のChange logを見ましたがそれらしい記述はありませんでした。
> 
> 4.2.2の環境はもう使ってはいけないということでしょうか...
> 
> とりあえず報告ということで
> 
> 以下、元ネタです
> //-------------------------------------------------------------------
> https://www.netsecurity.ne.jp/article/6/13257.html

... 省略 ...

>  危険度:高 
>  影響を受けるバージョン:3.0.13以降 
>  影響を受ける環境:UNIX、Linux、Windows 
>  回避策:4.3.7以降へのバージョンアップ 
> //-------------------------------------------------------------------

5月末に個人的にまとめたメモがあるのですが、PHP 4.3.7 では修正されて
いないように見えます。

http://www.asahi-net.or.jp/~wv7y-kmr/note/2004-05.html#YMD20040530_PHP

一応、検証手順などをまとめていますので、時間のある方は確認していただけます
と幸いです。

この件は、include() や require() の引数に、php://input を渡すと起きる問題
ですので、ユーザからの入力データをチェックして、危険な場合は無害な値に
変換するという方法で対処可能です。

既に、この問題の影響を受けそうな Mail Manage EX というツールなども
見つかっていますので、PHP スクリプトに見落としがないかどうかくらいは
確認しておいた方が良いと思います。

PHP Include Exploit in Mail Manage EX v3.1.8 and maybe others.
http://www.securityfocus.com/archive/1/365053

-- 
komura <komura @ ma9.seikyou.ne.jp>


PHP-users メーリングリストの案内