[PHP-users 26077] Re: 「 XML-RPC 」の実装パッケージに深刻な脆弱性

[Kiyotaka Doumae]

堂前です
これだけだと誤解を招きかねないので補足を。

> みなさん、とりあえず http://jp.php.net/ の指示通り
> pear upgrade XML_RPC
> をたたきましょう。

これで対応できるのは、PEAR XML_RPC パッケージのみです。

PHP で利用できる XMLRPC 実装にはこれ以外もあり、たとえば

XML-RPC for PHP Homepage
http://phpxmlrpc.sourceforge.net/

にも同様の脆弱性が存在します。
これのアップデートは別途行う必要があります。

また、たとえば Nucleus (http://japan.nucleuscms.org/) のように、自身の配
布物の中に XML-RPC for PHP などの一部を取り込んでいる場合、これらは各プ
ロダクトの指示に従って対応を行う必要があります。
この場合、各プログラムごとにばらばらにファイルが存在しますので、関連する
プロダクトをすべて確認する必要があります。


ところで、xmlrpc-epi (http://jp.php.net/manual/ja/ref.xmlrpc.php) に今回
の脆弱性が関連するかどうか確認した人っています？
脆弱性の内容からして、多分関係ないだろうと思ってますが。


haward wrote:
> 「XML-RPC」の実装パッケージに深刻な脆弱性
> http://japan.internet.com/webtech/20050706/12.html
> 
> みなさん、とりあえず http://jp.php.net/ の指示通り
> pear upgrade XML_RPC
> をたたきましょう。



-- 
DON (堂前清隆)
don ＠ don.am / http://www.don.am/~don/