HOME | LastUpdate: 2004-10-17
8月も終わりですね。
PHP 4.3.3 公開されました。セキュリティ問題の修正も行われているため、バージョンアップすることが強く推奨されています。また、バンドルされているモジュールのアップグレードや、改良、多くのバグ修正が行われています。詳しくは、PHP 4.3.3 Release Announcement や、ChangeLog に書かれています。また、日本語訳などは、PHP-users メーリングリストの投稿である、[PHP-users 17504] PHP 4.3.3 Release Announcement を参照すると良いと思います。
セキュリティ問題としては、PHP 4.3.0 から PHP 4.3.3 RC1 までのバージョンに存在していた、特定の環境でセーフモードを無効にできてしまうバグが修正されています。また、base64_decode() や、GD ライブラリに含まれていた Integer Overflow の問題も修正されていますので、これらの機能を使用している場合は、バージョンアップした方が安全です。
また、マルチバイト処理で、ファイルアップロードされたファイル名の文字コードを内部文字コードに変換するようになったそうです。([PHP-users 17103] Re: PHP 4.3.3RC2 released!!)これで、アップロード時に、ファイル名に、0x5c が含まれる場合、ファイル名が取得できないという問題が解決するだろうとのことです。
他にも、PHP 4.3.2 までは、php.ini で、
mbstring.encoding_translation = On
として、フォームで、enctype="multipart/form-data" を指定して POST した場合、フォームデータのエンコードが自動変換されなかったそうですが、PHP 4.3.3 では、php.ini の
mbstring.internal_encoding
で指定した内部エンコードに自動変換されるようになっているそうです(スラッシュドット・ジャパン : multipart/form-data の挙動が変更に)。
ただし、フォームで multipart/form-data を指定した場合で、name の部分にはマルチバイト文字を指定しても、自動変換はされないという問題が報告されていますので、気を付けた方が良いと思います。([PHP-users 17579]Re: multipart/form-data指定時の内部コードへの自動変換)。PHP の次のバージョンでは、name にマルチバイト文字を使用できるように修正されるかもしれません。
また、他の問題として、PHP 4.3.3 にバージョンアップすると、mb_send_mail() で文字化けするようになったという問題も出ているようです(スラッシュドット・ジャパン : mb_send_mail の挙動が)。2ch を見てみると、PHP スクリプト中に
mb_language( "Japanese" );
とするだけでは駄目で、php.ini で
mbstring.language = Japanese
と変更すると文字化けしないようになったという情報がありました(【PHP】質問スレッド Part9 : 878)。
最後に、PHP 4.3.4 から、ライセンス上の問題で mbstring の実装が変更される予定になっているそうです。([PHP-users 17579]Re: multipart/form-data指定時の内部コードへの自動変換)。開発者の方が、正式リリース前にテストするように呼びかけておられます。
Sendmail の Web ページに、DNS map problem in 8.12.x before 8.12.9 というアナウンスが出ていますが、Sendmail 8.12.8 以前の 8.12.x のバージョンに DNS map に関する問題があったそうです。Sendmail 8.12.9 でこの問題は修正されています。また。Patch もアナウンスのページから取得することができます。
FreeBSD では、Security Advisory が出ていますし、Sendmail 8.12.x を使用している Linux ディストリビューションなどでは修正プログラムなどが公開されています。
修正パッケージが公開されています。
Security Advisory が出ています。
Windows の HotFix を適用する際の注意点やメーリングリストの紹介など。
特に、Web 開発に特化しているオープンソースのスクリプト言語。PHP 4.3.2 から、多くのバグ修正が行われています。PHP 4.3.2 から修正された内容などは、PHP 4 ChangeLog を参照してください。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバのリリース候補の第 2 版。新機能や変更点についてはアナウンス(The Samba Team announces Samba 3.0.0 RC2)を参考にしてください。
Samba 2.2.8a の日本語版。多くのバグ修正が行われています。詳細は、メーリングリストに投稿されたアナウンス(Samba 2.2.8a日本語版リリース1.1の正式リリースについて)を参照してください。ftp.samba.gr.jp からダウンロードできるようです。
オープンソースのブラウザ、メール環境。Mozilla 1.5 alpha から多くの問題が修正されているようです。Mozilla 1.5 Beta Release Notes(日本語訳:Mozilla 1.5 Beta リリースノート) を参照にしてください。
23日に @random/1st Service Pack 1 に参加してきました。とりあえず、暑かったです。かなり疲れたので日曜日はほとんど寝ていました。
Windows でまたセキュリティホールが見つかっていますので、対処した方が良さそうです。
日本 PHP ユーザ会 に、mbstringのLGPLライセンス違反問題に関する見解という文書が公開されています。経緯と現状報告のようです。
現在の mbstring で使用されている mbfilter を libmbfl として、ライブラリとして独立させ、それを PHP にバンドルする形で配布する形に変更するということと、mbregex は現在の使用に問題はないが、より高機能で PHP ライセンスと親和性の高い「鬼車」というマルチバイト正規表現ライブラリに移行するという方針になったようです。
現状のバージョンとの互換性、機能の整合性、安定性を重視するとのことですので、ユーザに対する影響は少ないようです。
いろいろとウイルス・ワームが出回っているようです。
最近、多いですが、また修正プログラムが公開されています。
Internet Explorer のバージョン 5.01 / 5.5 / 6 で複数の問題が発見されたため、修正プログラムが出ています。
Microsoft の説明として、Internet Explorer のクロスドメインセキュリティモデルに関連する脆弱性により、マイコンピュータゾーンでスクリプトが実行される可能性があるという問題と、Internet Explorer が Web サーバーから返されたオブジェクトの種類を適切に確認しないため起こる脆弱性により、攻撃者がユーザーのコンピュータで任意のコードが実行できるという問題があります。
最大深刻度は「緊急」になっており、修正プログラムをインストールすることが推奨されています。さらに詳細な情報として、[MS03-032] Internet Explorer 用の累積的な修正プログラム (2003 年 8 月)という情報も公開されています。
関連情報として、以下のサイトも参考にしてください。
(2003.08.31 追加)
緊急セキュリティ情報 IEで攻撃者の任意のプログラムが実行される危険性(MS03-032)(@IT)にも詳しい情報があります。
(2003.09.07 追加)
JVN も出ていたようです。Vendor Status Note JVNCA-2003-22 Microsoft Internet Explorer に複数の脆弱性
Microsoft Data Access Components(MDAC) は、Windows プラットフォームでデータベース接続を提供するために使用されるコンポーネントで、Windows XP、Windows 2000、Winodws Me でデフォルトでインストールされているものです。Microsoft の情報では、この MDAC の特定のコンポーネントに、バッファオーバーフローの問題があり、攻撃者がこの問題を悪用した場合、任意のコマンドが実行可能となっています。
影響を受けるのは、MDAC 2.5 / 2.6 / 2.7 で、2.8 には、この問題はないそうです。
最大深刻度は「重要」になっています。修正プログラムが公開されていますので、安全のためにインストールしておいた方が良いと思います。
詳細な情報と、修正プログラムが正しくインストールされたかを確認する方法が、[MS03-033] Microsoft Data Access Components のセキュリティ アップデートというページにもありますので、参考にしてください。
また、関連情報として、多くの Windowsが影響を受ける「MDAC」の脆弱性が“緊急”で警告される(Internet Watch) という情報もあります。「適切な手順で修正パッチを当てなければ、パッチを当てても無意味に」とありますので、注意した方が良さそうです。
@IT から。システム障害に対応の際のポリシーについて。
@IT から。SQL Injection と、最近見つかった脆弱性として、LDAP クエリを操作する LDAP Injection と、HTTP/1.1 からで導入された TRACE メソッドを使用した Cross-Site Tracing が紹介されています。
特に、Web 開発に特化しているオープンソースのスクリプト言語のリリース候補 4。多くのバグ修正が行われています。PHP 4.3.3 RC 3 から修正された内容などは、CVS の NEWS を参照してください。
最近、雨が多いですが、涼しくて過ごしやすいです。Windows のワームが出回っているみたいで、修正プログラムのインストールなどを行って、被害を受けないように気を付けた方が良さそうです。
(2004.10.17 追記) この部分は PHP と Web アプリケーションのセキュリティについてのメモ : Cookie の secure 属性にまとめ直しました。特に内容に違いはありませんが、そちらも参照してください。
IPA に 経路のセキュリティと同時にセキュアなセッション管理を という情報が公開されています。Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策という文書についての解説です。
SSL/TLS で Cookie を使用する場合は、 secure 属性を付けておくべきであるということで、最初は、Cookie に secure 属性を付けることが困難な場合は https 以外の全ての TCP ポートを閉じることで対処可能とされていましたが、「http や https に限らず、すべての TCP ポートを閉じる必要があることが判明」したということで、修正されています。
PHP で Cookie の secure 属性を付けるための方法を確認したところ、以下の方法があるようです。
全ての PHP スクリプトで、Cookie の secure 属性を付けたい場合は、php.ini を編集し、以下のオプションを追加する方法があります。PHP のソースに付属している、 php.ini-dist や、php.ini-recommanded にはこのオプションは存在しませんので、session.cookie_domain の下くらいに追加すれば良いと思います。
session.cookie_secure = 1
この設定は、PHP 4.0.4 以降で使用可能です。
( 参考 : PHP マニュアル セッション処理関数(session) - session.cookie_secure )
同じく、ini_set 関数を使用して、Cookie に secure 属性を付けることも可能のようです。session_set_cookie_params を使用した時とほとんど同じです。
ini_set( 'session.cookie_secure', 1 );
( 参考 : PHP マニュアル ini_set 関数 )
PHP スクリプト中で session_set_cookie_params 関数を使用し、第 4引数を TRUE にすると、そのスクリプトで中は、Cookie に secure 属性が付けられます。第 4引数は PHP 4.0.4 で追加されています。
session_set_cookie_params( 3600, '/ssl_path/', 'www.example.com', TRUE );
関数の書式は以下のようになっています。PATH の指定では、最後の / を忘れないで下さい。
void session_set_cookie_params( int lifetime [, string path [, string domain [, bool secure]]]);
( 参考 : PHP マニュアル session_set_cookie_params 関数 )
setcookie 関数を使用すると、個々の Cookie に secure 属性を付けるかどうかをオプションで指定できます。
setcookie( 'Cookie_Name', 'Cookie_Value', 3600, '/ssl_path/', 'www.example.com', 1 );
関数の書式は以下のようになっています。session_set_cookie_params と同様に、PATH の指定では、最後の / を忘れないで下さい。
bool setcookie ( string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])
( 参考 : PHP マニュアル setcookie 関数 )
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)の関係ですが、この問題を利用した W32/Blaster ワームが出回っているようです。また、セキュリティ情報にも、数回の更新があり、DCOM を無効にする方法の追加、修正プログラムの Windows 2000 Service Pack 2 でのサポートに関する情報、および 「回避策」 に情報を追加、Windows NT Workstation 4.0 の修正プログラムの追加などが行われています。
Microsoft では、Blaster ワームに感染した場合の対策についてという情報を出して、注意を呼びかけています。また、多くのサイトで問題についての解説、対処方法などが載せられています。8月 15日には、Blaster ワーム 対策ツールが公開され、ワームの駆除や、対策などが簡単に行えるようになっています。
また、2ch で見かけた情報ですが、135番ポートを閉じる方法があるそうです。バイナリエディタが必要です。
rpcss.dll の 7c60 の 31 00 33 00 35 00 を 30 00 30 00 30 00 に書き換え
これで例のウイルスにも感染しません
試してはいませんので、本当かは分かりませんが、手元の Windows 2000 Professional の rpcss.dll はいくつかバージョンがありましたので、書き換え場所の位置だけ確認してみました。
| バージョン | 書き換え位置 | ファイル日付 |
|---|---|---|
| rpcss.dll 5.00.2195.5429 | 1bc8 | 2002/07/22 |
| rpcss.dll 5.00.2195.6702 | 7c60 | 2003/06/19 |
| rpcss.dll 5.00.2195.6769 | 0dc0 | 2003/07/05 |
CERT Advisory CA-2003-21 GNU Project FTP Server Compromise などにも出ていましたが、GNU プロジェクトの FTP サーバが 3月から root 権限を乗っ取られていたということが報告されています。8月 2日にサーバを入れ替えたということですが、その期間に、GNU の FTP サーバから、ソースコードをダウンロードしていた場合、不正なコードが含まれていた可能性があるため、checksum を確認することが推奨されています。
md5 の checksum の安全が確認された結果リスト一覧と、まだ安全性が確認されていないファイルのリストが公開されています。GNU プロジェクトからダウンロードしたソースコードがある場合は、念のため確認したおいた方が良いと思います。
(2003.09.07 追加)
JVN が出ていました。Vendor Status Note JVNCA-2003-21 GNU Project FTP サーバへの侵害が確認される
Security Adovisory が出ています。
修正パッケージが公開されています。
PostgreSQL 7.3.4 に対応した日本語ドキュメント。
オープンソースのオフィス環境。リリース候補 3 が公開されています。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバのリリース候補。新機能についてはリリースノートを参考にしてください。
台風が来た次の日くらいは涼しかったのですが、それにしても暑い日が続いています。
使用していたノート PC にインストールしている Linux のウインドウマネージャを FVWM にしてみました。以前は、KDE や、Gnome + Sawfish を使っていたのですが、やはり最近のウインドウマネージャは、非力なノート PC では少し重かったので、少し調べてみたところ、FVWM と、M+ WORK SPACE というなかなか軽くて良さそうなテーマがありましたので、試しにインストールしてみたら気に入りました。
やはり、KDE や GNOME + Sawfish よりも起動も早くなって処理も軽くなりましたし、M+ bitmap fonts は、10 ドットフォントも含まれていますので、画面も広く使えてなかなかに快適です。
以前 Bugtraq に投稿されていた、Apache 1.3.27 mod_proxy security issue という問題と、それに対する返信(Re: Apache 1.3.27 mod_proxy security issue) についてですが、Apache-users メーリングリストの、[Apache-Users 2935] Apache2のmod_proxyでスパムメール・・という投稿で、実際の被害が報告されていました。
Apache 1.3.x だけでなく、2.0.x でも同じようです。デフォルトの httpd.conf の設定ではこの問題は起きないのですが、
ProxyRequests ON
という設定を行っていて、外部からのリクエストを制限していない場合は、踏み台にされてしまう危険性があるようです。リバースプロキシを使うには、ProxyRequests Off のままでよい ([Apache-Users 2937])ということですので、そのような設定を行っている場合は、設定を確認した方が良いと思います。
他にも、Apache 1.3.28 には、CGI の zombi が残ってしまうという不具合 [Apache-Users 2924]もあるようですし、mod_mylo という MySQL を使用したログ取得を行う Apache モジュールにも、セキュリティホールがあったことが報告されています。Remotely Exploitable Overflow In mod_mylo For Apache( SecuriTeam )
また、株式会社ラックの JSOC レポートにある、侵入傾向分析レポート Vol.2( PDF ) では、2003年 7月に開催された改竄コンテストの分析レポートがありましたが、その中で以下のように分析されています。
Apache は最新版ですが、他のアプリケーションのバージョンに問題があることなどが分かるかと思います。つまり、いくつかのサーバは、Apache そのものではなく、OpenSSL や PHP といったモジュールの脆弱性を攻撃された可能性があるということが言えるかと思います。
OpenSSL や、PHP などは、セキュリティ情報が大きく取り上げられているような気がするのですが、比較的、広く使用されていると思われる mod_ssl も、Apache 1.3.27 に対するセキュリティ、バグ修正のバージョンアップが 4回ありますが、あまり大きく取り上げられていなかったような気がします。Apache のバージョンを管理するだけでなく、Apache で使用しているモジュールなども把握して、モジュールの管理もできるようにしておく必要がありそうです。
メールサーバの Postfix のバージョン 1.1.12 以前のバージョンにセキュリティ上の問題が見つかったそうです。Postfix 1.1.13 以降、または、Postfix 2.x では、これらの問題は無いそうです。RedHat Linux、Vine Linux など、多くの Linux ディストリビューションで修正パッケージやパッチなどが公開されています。
セキュリティホール memo の2003.08.04 の情報にまとめがありますので、参考にしてください。また、以下のページも参考にも情報があります。
修正パッケージが公開されています。
修正パッケージが公開されています。PAM の修正パッケージをアップデートすると、gnome-core-1.4.0.4-0vl4 で shutdown 時にユーザパスワードで shutdown 出来なくなるという不具合があったため、gnome-core-1.4.0.4-0vl5 が公開されました。
Security Adovisory が出ています。同じ問題が、NetBSD や OpenBSD にもあるそうです。
@ITから。TCP Wrapper についての説明。
Linux ディストリビューションの1つで、ports や apt などの良い点を採用したパッケージ管理システムが特長のようです。インストール方法や、FAQ など、日本語の情報も充実しています。
特に、Web 開発に特化しているオープンソースのスクリプト言語のリリース候補 3。多くのバグ修正が行われています。PHP 4.3.3 RC 2 からの修正点、機能追加などは、CVS の NEWS を参照してください。
Java Servlet と JSP の実装。セキュリティ関係の修正のようです。
オブジェクト指向のスクリプト言語。
梅雨明けしたみたいですね。8月に入ってから急に暑くなりました・・・。
PHP-QAT: Quality Assurance Team で PHP 4.3.3 RC 2 が公開されました。Expat や、PCRE ライブラリのアップグレードや、多くのバグ修正が行われています。
PHP 4.3.3 RC 1 からの修正点、機能追加などは、CVS の NEWS を参照してください。
PHP 4.3.0 以降のバージョンに存在する、セーフモードのバグについては修正されていることも確認しました。
Do You PHP? で、CVS から PHP 日本語マニュアルを作成する方法が紹介されています。ダウンロード可能な PHP マニュアルは、4月 22日くらいから更新されていませんし、それ以降にマニュアルの内容が更新された部分は多いようですので、最新の PHP マニュアルが必要な場合は、作り方を参考にして PHP マニュアルを作成しても良いと思います。
Bugtraq に、wu-ftpd fb_realpath() off-by-one bug という投稿があり、FTP サーバの WU-FTPD に、リモートから攻撃可能なセキュリティホールが発見されたようです。
対象バージョンは 2.5.0 から、2.6.2 となっています。WU-FTPD の内部で使用されている fb_realpath() 関数に問題があり、攻撃者はこの問題を使用し、root 権限を取得することが可能とということです。
Redhat Linux や、Debian GNU/Linux などでは、既に修正パッケージが公開されています。最近の Vine Linux( 2.1 以降 ) では、標準では ProFTPD を使用することになっているため、WU-FTPD は含まれていませんので、この問題は関係ありません。
Bugtraq に、Netfilter Security Adovisory が投稿されていました。
リモートのユーザが、NAT を行っている Linux マシンをクラッシュさせることが可能という問題のようです。影響を受けるのは、Linux 2.4.20 カーネルと、最近の Linux 2.5 カーネルで、CONFIG_IP_NF_NAT_FTP か、CONFIG_IP_NF_NAT_IRC を有効にしている、または、ip_nat_ftp か、ip_nat_irc モジュールをロードしていて、ftp や irc を使用しているユーザのパケットをフィルターしていない場合のようです。
対処方法としては、Linux カーネルを 2.4.21 にするか、添付のパッチを当ててカーネルを再構築するという方法と、モジュールを削除する、または、信頼されていない ftp と irc のパケットを iptables でブロックするということが挙げられています。
Redhat Linux の最新カーネルでは、この投稿にあるパッチが既に含まれているそうです。
リモートのユーザが、特定のバージョンの Linux カーネルを使用して netfilter connection tracking を行っているマシンに対して、DoS 攻撃を引き起こすことが可能という問題のようです。影響を受けるのは、Linux 2.4.20 で、CONFIG_IP_NF_CONNTRACK が有効になっている、または、ip_conntrack モジュールをロードしている場合です。
対処方法としては、Linux カーネルを 2.4.21 にするか、添付のパッチを当ててカーネルを再構築するという方法と、カーネル 2.4.20 ベースの connection tracking を使用しないという方法が挙げられています。
Redhat Linux では、RHSA-2003:17 でこの問題に対する修正が行われているそうです。
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026) に関連して、Successful Reproduction of MS03-026 "Buffer Overrun In RPC Interface Could Allow Code Execution" on Japanese Environment という情報が出ています。日本語 Windows 2000 の各バージョンにおいて、任意のコードを実行させることが可能であったということが報告されています。
この問題に関しては、セキュリティホール memo の 2003.07.28 の情報にまとめがありますので、そちらを参考にすると良いと思います。そこに、「Windows 2000 と Windows XP については、全ての言語 / 全ての Service Pack で local SYSTEM 権限を誰でも簡単に取れるようになってしまった可能性が高い」と書かれています。まだ Patch を当てていない場合は、修正プログラムをインストールしておく必要があると思います。
MSの最近の2つのパッチに不備,RPCに関するものとNT 4.0用に注意という情報もありますので、読んでおいた方が良いと思います。
他にも、Internet Explorer がクラッシュするバグがいくつか報告されています。
修正パッケージが公開されています。
その他、Linux カーネル、KDE、Solaris 関係など、いろいろと問題が報告されています。JPCERT/CC REPORT 2003-07-30 なども参考にしてください。
@IT から。データベースのジャーナリングと対比をしながら、ジャーナリングファイルシステムの解説。
オープンソースのリレーショナルデータベース管理システム(RDBMS)。バグや、セキュリティ問題の修正が行われています。
オープンソースのブラウザ・メール環境である Mozilla から派生した軽量なブラウザ。Phoenix の後継。バグ修正のようです。詳しくは、Mozilla Firebird 0.6.1 Release Note and FAQ を参照してください。日本語訳の Mozilla Firebird 0.6.1 リリースノート/よくある質問も公開されています。
Mozilla から派生したメールクライアント。詳しくは、Mozilla Thunderbird 0.1 Release Notes を参照してください。日本語訳の、Mozilla Thunderbird 0.1 リリースノートも公開されています。
オープンソースのスクリプト言語のリリース候補。
セキュリティ監視ツール。システムやネットワークの設定、権限などのチェックを行ってくれます。検査にかなり時間がかかりましたが、詳細なレポートを作成してくれました。なかなかに便利なツールだと思います。
間違いの修正、追記。
見つけたリンクの追加。
8月31日分を追加。
8月25日分を追加。
8月17日分を追加。
8月10日分を追加。
このページを作成。8月3日分を追加。
LastUpdate: 2004-10-17 | HOME