個人的なメモと備忘録 2005年10月

HOME | LastUpdate: 2005-10-31

目次


2005.10.31(Mon)

しばらく更新が止まっていましたので、少し古い情報が多いかもしれません。

>>PHP

*セキュリティ関係
+PHP Trailing Slash "open_basedir" Security Bypass

PHP には、php.ini の open_basedir を設定して PHP スクリプトを動作させるディレクトリを制限する機能がありますが、その制限を回避されてしまう場合があることが報告されています。

Secunia の例では、/home/user1/ でのみ PHP を動作させるつもりで以下のように設定していた場合、

open_basedir = /home/user1/

/home/user11/, /home/user12/, ... などの前方が /home/user1 と一致するパス名を持つ全てのディレクトリで PHP スクリプトが動作します。/home/user2/ など、1文字でも違いがある場合は問題はありません。

open_basedir を使用して PHP の動作を制限している場合は問題が起きないか確認した方が良いかもしれません。この問題は PHP 4.4.0 や PHP 5.0.4 でも確認されているそうです。

+PHP Safedir Restriction Bypass Vulnerabilities

GD の一部の関数(imagegif(), imagepng(), imagejpeg()) や、curl_init() で、php.ini において設定したディレクトリ制限を回避されてしまう問題が報告されています。

CVS では修正されているそうです。また、PHP 4.4.1 と PHP 5.0.6 では修正される予定になっています。

*その他 PHP 関連

PHP-QAT で PHP 5.1.0 RC4 / PHP 4.4.1 RC1 が公開されています。

>>セキュリティ関係

>>気になったニュース、ツールなど

▲ 目次へ戻る


更新履歴

2005.10.31

このページを作成。2005年10月31日分を追加。

▲ 目次へ戻る

LastUpdate: 2005-10-31 | HOME