[PHP-users 22179] Re: PHP 4.3.7 Release Announcement

[komura]

komura です。

On Fri, 11 Jun 2004 12:14:11 +0900
高橋 照知 <teru ＠ homes.co.jp> wrote:

> 4.3.7以前には重大なセキュリティホールが存在するとの報告がありました。
> 4.3.7のChange logを見ましたがそれらしい記述はありませんでした。
> 
> 4.2.2の環境はもう使ってはいけないということでしょうか．．．
> 
> とりあえず報告ということで
> 
> 以下、元ネタです
> //-------------------------------------------------------------------
> https://www.netsecurity.ne.jp/article/6/13257.html

... 省略 ...

> 　危険度：高 
> 　影響を受けるバージョン：3.0.13以降 
> 　影響を受ける環境：UNIX、Linux、Windows 
> 　回避策：4.3.7以降へのバージョンアップ 
> //-------------------------------------------------------------------

5月末に個人的にまとめたメモがあるのですが、PHP 4.3.7 では修正されて
いないように見えます。

http://www.asahi-net.or.jp/~wv7y-kmr/note/2004-05.html#YMD20040530_PHP

一応、検証手順などをまとめていますので、時間のある方は確認していただけます
と幸いです。

この件は、include() や require() の引数に、php://input を渡すと起きる問題
ですので、ユーザからの入力データをチェックして、危険な場合は無害な値に
変換するという方法で対処可能です。

既に、この問題の影響を受けそうな Mail Manage EX というツールなども
見つかっていますので、PHP スクリプトに見落としがないかどうかくらいは
確認しておいた方が良いと思います。

PHP Include Exploit in Mail Manage EX v3.1.8 and maybe others.
http://www.securityfocus.com/archive/1/365053

-- 
komura <komura ＠ ma9.seikyou.ne.jp>