HOME | LastUpdate: 2003-06-01
週末が何かと用事で忙しかったです・・・。
2003.05.29 に PHP 4.3.2 が公開されましたので、修正しました。
PDFLib 5.0.0 がリリースされていましたので、確認のために、コンパイル、インストールを行ってみました。RedHat Linux 7.3 の環境で、PDFLib を有効にして PHP 4.3.2 をコンパイル、インストールを行った時のメモです。
PDFLib は、通常版は商用になったようです。PDFLib Lite はオープンソースで個人的な利用に限り無料です。詳しくは、ソースに含まれる readme.txt を参照してください。
PDFLib のダウンロードとインストール。ソースからコンパイルを行います。PDFLib Lite のソースダウンロードのページから、ソースである、PDFlib-Lite-5.0.0-Unix-src.tar.gz がダウンロードできます。
$ tar zxvf PDFlib-Lite-5.0.0-Unix-src.tar.gz $ cd PDFlib-Lite-5.0.0-Unix-src $ ./configure $ make $ su -c 'make install'
次に PHP 4.3.2 を展開して、コンパイルします。PHP 4.3.2 は、PHP: Downloads のページからダウンロードしてください。
$ tar jxvf php-4.3.2.tar.bz2
$ cd PHP-4.3.2
$ ./configure \
--enable-inline-optimization \
--with-zlib \
--with-apxs=/usr/local/apache/bin/apxs \
--with-pgsql \
--without-mysql \
--enable-mbstring \
--enable-mbregex \
--with-cli \
--with-gd \
--enable-gd-jis-conv \
--with-pdflib=/usr/local \
--with-jpeg-dir=/usr/lib \
--with-tiff-dir=/usr/lib \
--with-png-dir=/usr/lib \
--with-xpm-dir=/usr/lib \
--with-freetype-dir=/usr/lib
$ make
$ su -c 'make install'
コンパイルオプションは必要に応じて変更してください。--with-pdflib=/usr/local を指定しないと、libpdf.so.1 が見つからないというエラーが出て、configure が成功しませんでした。また、--with-jpeg-dir や --with-tiff-dir などもディレクトリの指定を加えておくと、configure 中に、エラーがでませんので、ディレクトリの指定を行っておいた方が安全だと思います。
これらの画像関係のライブラリをコンパイルする場合は、開発パッケージ( libpng-devel や libjpeg-devel など)か、ソースからインストールしたライブラリが入っていないと configure 時にエラーになります。ディレクトリ指定ははライブラリをインストールしたディレクトリに適宜変更する必要があります。RPM パッケージからインストールしている場合は /usr/lib で大丈夫です。
PHP のバージョンや、PDFLib のバージョンが上がるとコンパイルオプションを変更する必要があるかもしれませんので、参考程度にしておいてください。
SecuriTeam.com に載っていたのですが、Windows の Internet Explorer や、Outlook Express などの、JScript を使用しているアプリケーションをクラッシュさせるバグが報告されているようです。
内容は、Microsoft's Windows Script Engine this/self.window() Security Flaw にありますが、Web ページで以下のスクリプトが実行されるとアプリケーションがクラッシュするようです。
<script> this.window(); </script>
または、以下のスクリプトでも同じです。
<script> self.window(); </script>
この問題は、Internet Explorer のセキュリティ設定で、アクティブスクリプトを使用しないように設定すれば回避できます。
この前も、不正にタグを使用するだけで Internet Explorer をクラッシュさせる方法なども報告されていますので、Internet Explorer や Outlook などを使っている人は気を付けてください。
@IT から。勉強に。
@IT から。PHP5 についての新機能の説明。クラスに追加された機能や、便利な関数の説明などが紹介されています。
オープンソースのスクリプト言語。時期バージョンの PHP 4.2.3 のリリース候補。
最近、セキュリティ関係の話題が多いです。2003.05.06 の Opera のセキュリティホール の情報と 2003.05.11 の Windows Media Player のセキュリティホールについて、追加情報が出ていましたので、追記しました。
あと、Tripwireのインストールと設定についてのメモ の誤字、脱字の修正とリンクの追加を行いました。内容の変更はありません。
Mozilla Firebird 0.6 が公開されたようです。Mozilla Firebird は以前は Phoenix という名称でしたが、商標の問題などのため、変更されています。Mozilla Firebird 0.6 (Glendale) Release Notes and FAQ というリリースノートと、その和訳である、Mozilla Firebird 0.6 (Glendale) リリースノート/よくある質問が出ています。
日本語の Mozilla Firebird の情報としては、Mozilla Firebird のメニューを日本語化して配布しているふしちょお博物館 や、Mozilla Firebird Help の 日本語サイトもありますので、日本語の情報が必要な場合は参考になると思います。
Mozilla Firebird 0.6 の細かい設定や、不満などがある場合は、Mozilla Firebird Help: 使用上のヒントを参考に、設定ファイル(user.js)の編集を行うと良いと思います。
以前から Mozilla や、Phoenix など、Internet Explorer 以外のブラウザを使っている人には、スムーズスクロールが不評のようですが、user.js で以下のように設定をするとスムーズスクロールを無効にできます。または、about:config で直接設定するという方法もあります。
user_pref("general.smoothScroll", false);
また、オプションの設定ウインドウが Mozilla 1.x とかなり違いますが、Mozilla と同じ設定ウインドウを表示することもできるようです。アドレスバーに、以下の文字列を入力すると、以前の Mozilla と同じ設定ウインドウで設定を行うことが可能です。ブックマークをしておくと便利かもしれません。
chrome://communicator/content/pref/pref.xul
他の設定方法として、アドレスバーに以下の文字列を入れると、現在、設定されている項目を見ることができます。
about:config
表示された設定項目をダブルクリックすると内容を変更することもできますので、項目の内容が分かる人はここから変更すると良いと思います。
Fizzer というコンピュータウイルスが蔓延しているそうです。IPA セキュリティセンターの「W32/Fizzer」ウイルスに関する情報によると、メールの添付ファイルおよびファイル共有ネットワークを介して感染を拡げるそうです。
ZDNet の 新ウイルス「Fizzer」感染拡大という記事を見ると、自己アップデートを行ったり、キー入力のログを取るなど、多くの機能があるそうで、危険度が高いコンピュータウイルスのようです。
BugTraq に、Buffer overflows in multiple IMAP clients という投稿があり、複数のメールクライアントで問題があることが指摘されていました。
メールの最後に問題のあるメールクライアントのバージョンが書かれています。ほとんどの有名なメーラで問題があるようですので、IMAP を使っている人は確認しておいた方がいいと思います。
また、Becky! は、バージョン 2.06.02 で対応済みらしいです。Sylpheed は、バージョン 0.9.0 で IMAP4 パーサのクラッシュバグを修正したということですので、おそらくこの問題の修正は行われていると思います。
BugTraq に、Flooding Internet Explorer 6.0.2800 (6.x?) security zones ! [CRITICAL] という投稿があり、追加情報として、Flooding Internet Explorer 6.0.2800 (6.x?) security zones ! - UPDATED が投稿されていました。
Internet Explorer のバージョン 6.0.2800( SP1 )には、強制的に実行ファイルをダウンロードさせて実行させることが可能という問題があるそうです。また、セキュリティゾーンの設定が回避されてしまうそうです。セキュリティホール memo の 2003.05.16 の情報によると、以下のように書かれていましたので参考にしてください。
攻撃者の web ページが「制限つきサイトゾーン」に含まれていれば、きれいに回避できる。また手元で試した限りでは、「ファイルのダウンロード」が無効であれば、IE は落ちてしまうもののファイルの実行は回避できるようだ。
とりあえず、Internet Explorer ではダウンロードを行わないように設定して、別のツールを使ってダウンロードを行うことで、この問題は回避することができそうです。
Unpatched IE security holes (英語) というページによると、2003年5月16日時点で Internet Explorer には、未解決のセキュリティホールが 15個あるそうです。気になる人は確認しておくと良いと思います。
多くの修正パッケージが出ています。また、RedHat Linux 7.1 から 8.0 までのバージョンのカーネルが 2.4.20 にアップデートされています。
修正パッケージが出ています。Samba は、先月の中頃にあったセキュリティホールが修正されたようです。
英語。Apache を chroot 環境で動作させて、バーチャルホストを有効にした状態で安全に動かすための方法が紹介されています。OS は FreeBSD を使用しているようですが、他の Unix 系 OS で挑戦する時にも参考になりそうな文書です。コンパイル時に全てのモジュールを無効にして、必要なモジュールだけ有効にするということを行っています。httpd.conf のサンプルもありました。
高速な表示を特長にしているブラウザ。以前に見つかったセキュリティホールの修正が行われているそうです。2003.05.06 の Opera のセキュリティホールに少し詳しい情報を追加しておきましたが、修正した Opera 7.11 for Windows が公開されています。ただ、Opera 7.11 に含まれる Java には、別の問題が含まれていますので、Java のランタイムに関しては最新のものをインストールした方が良いと思います。
GTK+ を使用したメールクライアント、ニュースリーダー。いくつかの機能追加と文字周りのバグ修正などが行われています。
オープンソースのスクリプト言語。時期バージョンの PHP 4.2.3 のリリース候補ですが、まだバグも多いようです。
オープンソースのブラウザ Mozilla からブラウザ部分のみを取り出し、独自に拡張したブラウザ。以前は Phoenix という名前だったのですが、Mozilla Firebird という名前になったようです。テーマの変更や多くの新機能が追加されています。
スラッシュドット・ジャパンに、Hotmailと.NET Passportにアカウント乗っ取りの大穴 という投稿がありました。現在は修正されているらしいのですが、.NET Passport で相手のパスワードをリセットできた方法も投稿されていました。ある URI に GET 変数にパスワードを変更したい相手のメールアドレスと、メールの送信先に自分のメールアドレスを指定すると、メールが届き、メールの指示に従って操作することで相手のパスワードをリセットできたそうです。
クレジットカードなどの非常に重要な個人情報が盗めてしまうという問題があっただけに、システム側の実装が登録時のメールアドレス以外のメールアドレスに対して、現在のアカウントのパスワード変更を行えるような情報を送信するというであったということが信じられないです。
さすがに、他人のパスワードが変更できてしまう可能性のあるような機能は必要なかったのではないかという気がします。どうしても、パスワードを忘れたユーザに対する救済措置が必要な場合は、登録時のメールアドレスに対してパスワードをリセットする方法を送るというだけで十分だと思います。当然、登録時のメールアドレスを、登録した本人以外が使用しているという可能性もありますが、大きな問題になる可能性は低いような気がします。
個人的には、サービスを提供する側は、安全性のために、ユーザの利便性を切り捨てる必要もあると思います。また、ユーザ側としては、漏れると困るような個人情報が必要なサービスは極力利用しないということでユーザ自身が対処していく必要があるのかもしれません。
日本 PHP ユーザ会 で、chm 形式( Windows HTML Help )の PHP 日本語マニュアルが最新版に更新されたようです。PHP.net からダウンロードできる chm 形式のマニュアルは、随分前から壊れてたままのようですので、必要な人は、ダウロードすると良いと思います。PHP-users メーリングリストの [PHP-users 15180]HTMLHelpマニュアル 最新版 によると、問題を修正したバージョンのマニュアルもダウンロードできるようになったようですが、まだサンプルコードおかしい部分があるそうです。
chm 形式は Windows でしか読めないと思いますが、キーワード検索や、全文検索などもできますので、HTML 形式のマニュアルよりも便利です。
今年の3月1日に立ち上げられ、警察庁が管理しているセキュリティ関係の情報サイト @police ですが、久しぶりに見に行ってみると、非常に内容が充実していました。
@police-世界のセキュリティ事情は、かなりの頻度で更新されているようですし、@police-脆弱性情報で、OS や、製品に対する情報が調べられるので意外と便利のような気がします。
メールマガジンには、あまり情報がないので、有効活用されていないように感じられますが、サイトの方は、有用な情報が多くあると思いますので、定期的に確認しておくと良いと思います。
GnuPG 1.2.1 以前に鍵の正統性チェックに関するバグが発見されたため、修正を行ったパッケージが公開されています。
Microsoft のサイトに、Windows Media Player スキン ダウンロードの問題により、コードが実行される (817787) (MS03-017)という情報が公開されています。Windows Media Player 7.1 および Windows Media Player for Windows XP (Version 8) の問題で、Windows Media Player 9 にバージョンアップするか、修正プログラムをインストールすることでこの問題を回避できる草です。該当するバージョンを使用している人は対処した方が良いと思います。
@IT に詳しい情報がありました。参考になると思います。Windows Media Playerに重大なセキュリティ・ホール(MS03-017)
( 2003.05.18 追加 )
Windows Media Player 6.4 についてのは、この問題の影響を受けないことが確認され、情報が追加されていました。Windows Media Player 9 シリーズもこの問題がないことが確認されています。
ICQに深刻な脆弱性(ZDNet) が報告されているようです。
@IT から。基本的な事も多いかもしれませんが、勉強に。
オープンソースのブラウザ。次期バージョンのベータ版と Mozilla 1.3.0 において、Max OS X で無効になっていた XPI 機能を有効にした バージョンの 1.3.1 が公開されました。詳しくは、Mozilla 1.3.1 Release Notes(日本語訳:Mozilla 1.3.1 リリースノート)と、Mozilla 1.4b Release Notes(日本語訳:Mozilla 1.4 ベータ版 リリースノート)を参照してください。
オープンソースのオフィス環境。1.0.x 系のマイナーバージョンで、バグ修正と小さな機能拡張のようで、新機能はないそうです。詳しくは、OpenOffice.org 最新バージョン情報 を参照してください。
最近、Internet Explorer だけでなく、Opera や、Netscape、Mozilla といった、多くのブラウザで問題が報告されています。危険なページに行かないように気を付ければ、特に問題は無いとは思いますが、リンク先のページの HTML ソースを確認してから移動する人はあまりいないと思います。詳しいことを知らない人が安心して Web ブラウジングをするのはやはり難しいのでしょうか。
家族が使う PC のブラウザアップデートとか、注意を喚起するだけでもなかなか分かってもらえませんので大変です。教育機関や企業などではもっと大変だと思いますが・・・。Javascript と Cookie を使用しないようすればブラウザでの起こる問題の大半は回避できるのですが、自分の環境で対処する場合ではいいとしても、そうでない場合は簡単に Javascript と Cookie を使用しないというような対処を行うのも難しいと思います。
PEAR の Benchmark を使うと、PHP の実行時間を計測や、スクリプトのベンチマークなどを行うのに便利ですので、メモしておきます。
Benchmark は、pear コマンドを使用するとインストールできます。通常のインストール状態の場合は root でインストールする必要があります。
$ su -c 'pear install Benchmark'
使い方は非常に簡単で、例えば、ファイルを開いて、変数に格納するベンチマークを行いたい場合、以下のようなスクリプトを用意します。
<?php
require( 'Benchmark/Timer.php' );
// テキストファイルを指定
$sFileName = '/etc/termcap';
$oTimer =& new Benchmark_Timer();
// 時間計測を開始
$oTimer->start();
$fp = fopen( $sFileName, 'r' );
$sText1 = fread( $fp, filesize( $sFileName ) );
fclose( $fp );
// start() が実行されてから、ここまでの時間をマーク
$oTimer->setMarker( 'fread' );
$sText2 = implode( '', file( $sFileName ) );
// setMarker( 'fread' ) から、この部分までの時間をマーク
$oTimer->setMarker( 'file' );
// 時間計測を終了
$oTimer->stop();
// 結果表示
$oTimer->display();
if ( $sText1 != $sText2 ) {
echo "取得した値が同じではありません。";
}
?>
start(), stop(), setMarker() が実行されたところで時間が記録されます。
CLI 版で実行した結果は以下のようになります。ブラウザからアクセスした場合は、テーブルで表示されます。
------------------------------------------------------------- marker time index ex time perct ------------------------------------------------------------- Start 1052190669.15543200 - 0.00% ------------------------------------------------------------- fread 1052190669.16531600 0.0098839998245239 6.64% ------------------------------------------------------------- file 1052190669.30425200 0.13893604278564 93.32% ------------------------------------------------------------- Stop 1052190669.30431000 5.793571472168E-05 0.04% ------------------------------------------------------------- total - 0.14887797832489 100.00% -------------------------------------------------------------
file 関数を使用した場合、fread 関数を使用した場合に比べて時間が掛かっている事が分かります。
この PEAR の Benchmark は、スクリプトの実行時にどの部分で時間が掛かっているのかの特定や、アルゴリズムを変更したときの効果の測定、上に挙げたように、同じ処理を行う関数の実行時間の比較などに役立つと思います。
また、Benchmark には、一つの関数を指定された回数を繰り返し、その実行時間を測定する Benchmark/Iterate.php などが含まれています。詳しくは、PEAR のソースに含まれているドキュメントを参考にしてください。PHP をソースからディレクトリを指定せずにインストールした場合、/usr/local/lib/php/ 以下に PEAR のソースがインストールされています。
今週も修正パッケージが出ています。
本家 Slashdot で話題になっていますが、HTML Rendering Crashes IE という投稿で、Internet Explorer を簡単にクラッシュさせることができる HTML コードが報告されています。
手元の Internet Explorer のバージョン 6.0.2800.1106 で試してみましたが、確かにクラッシュしました。報告では、5行の HTML コードでクラッシュすることになっていますが、簡単に以下の一行の HTML でもクラッシュしました。
<input type>
現在、Microsoft からは、特にアナウンスは出ていないようですし、Internet Explorer を使っている人は気を付けてください。
また、ユーザからの投稿に、Javascript を使って、Mozilla をクラッシュさせる方法もありました。Mozilla を使っていても、Javascript を使うとブラウザをクラッシュさせることは簡単なようです。
スラッシュドット・ジャパン に、Netscape 7.02以前にcookie漏洩などの脆弱性という投稿がありました。
Javascript によって、ページのセキュリティドメインを変更できてしまうという問題のようです。この問題により、Cookie が盗まれてしまう可能性があるとの事でした。
また、少し前の話題ですが、Mozillaに不正なクッキー情報取得のセキュリティホールについての投稿もありました。この問題によって Cookie を取得するのは、タイミング的には非常に難しいため、それほど深刻ではないという事ですが、参考にしてください。
Bugtraq-JP に Opera のセキュリティホールについて以下の 2つの問題が投稿されていました。
( 2003.05.18 追加 )
Opera Software で、Opera 7.11 for Windows が公開されたようです。Changelog for Opera 7.11 for Windows の Privacy and security を見ると、上の2つのセキュリティホールが修正されているようです。
あと、BugTraq に Opera 7.11 java.util.zip.* Vulnerability というメールが投稿されていました。Opera 7.11 に含まれている Java VM のバージョン 1.4.1_01 には java.util.zip.* のバグがあり、Java アプレットによるDoS 攻撃を引き起こすことが可能ということです。java.sun.com から配布されている Java の 1.4.1_02 以降を使用することが推奨されています。既に 1.4.1_02 以降がインストールされている場合は問題ないそうです。
スクリプト言語 PHP の次のバージョン 4.3.2 のリリース候補。付属の GD ライブラリの更新と、Apache 2 モジュールの置き換えなどの細かい新機能の追加と多くのバグ修正が含まれています。
Unix 系でよく使用されている日本語入力システム、かんなの辞書。単語の追加、誤字の修正が行われています。
PHP で PDFLib を有効にしてコンパイルする方法を PHP 4.3.2 で行うように修正。
5月26日分を追加。
5月18日分を追加。Windows Media Player と Opera の問題に情報を追加。
5月12日分を追加。
このページを作成。5月6日分を追加。
LastUpdate: 2003-06-01 | HOME