HOME | LastUpdate: 2004-12-26
今年ももうすぐ終わりです。
PHP の開発者の一人である Ilia Alshanetsky の Blog に、Apache 1 vs Apache 2 Performance という記事がありました。興味がありましたので、メモしておきます。
以下の比較を行っています。
結果は以下のようになったそうです。
Apache 1 vs Apache 2 Performance に詳しいテスト内容や Apache や PHP のコンパイルオプション、結果のグラフなどがあります。
phpBB という PHP で動作する掲示板のセキュリティ問題を狙ったワームが出現しているようです。Google で phpBB を使用しているサイトを検索し、見つかったサイトに対して攻撃コードを実行して感染させ、さらに他のサイトを検索して攻撃を行うということを繰り返すようです。
phpBB 2.0.10 以前のバージョンでは、highlight パラメータのサニタイズ方法に問題があり、highlight パラメータに不正な値を与えると、任意のコードを実行できてしまうという問題が利用されています。
この問題は phpBB 2.0.11 で修正されています。また、このワームの亜種も作成されているようですので、phpBB を使用している場合は、対処を行うか、phpBB 2.0.11 にアップデートしてください。
Google Desktop Search 121004 より前のバージョンにローカルの検索結果を見られてしまうという問題が報告されています。
Google Desktop Search 121004 で修正されています。
MIT Kerberos 5 の 1.3.5 以下のバージョンの管理ライブラリ libkadm5srv に Buffer Overflow の問題があるそうです。
krb5-1.3.6 と krb5-1.4-beta3 で修正され、krb-1.3.5 に対する Patch が公開されています。
xpdf 3.0.0pl1 以前のバージョンの doImage()
関数に Buffer Overflow の問題があるそうです。
xpdf 3.0.0pl2 で修正されています。また、xpdf を使用している kpdf にも同じ問題があり、修正されたバージョンが公開されています。
Oracle に多くのセキュリティ問題が報告されています。
この記事を読むには登録が必要です。PHP 4.3.10 や PHP 5.0.3 での修正内容と、PEAR::XML_XUL を使用した Firefox/Mozilla ブラウザで動作するリッチクライアントを作成する方法についての記事があります。
PHP をよりセキュアにするための Patch 集。PHP 4.3.9, PHP 4.3.10, PHP 5.0.3 に対応しています。Solaris でコンパイルに失敗する問題などの修正が行われています。
GTK+ を使用するメールクライアント、ニュースリーダ。正式版が公開されました。
オブジェクト指向のスクリプト言語。バグ修正が行われています。
多くの環境で利用できるメールクライアント、ニュースリーダ、RSS リーダ。
オープンソースのオフィス環境。日本語版はまだ公開されていません。
CD のみで起動する Linux ディストリビューション。
ネットワークのパケット分析を行うツール。
多くの OS やアプリケーションでセキュリティ問題が報告されています。
PHP 4.3.10 と PHP 5.0.3 が公開されました。セキュリティ問題の修正と、多くのバグ修正が含まれています。
深刻なセキュリティ問題の修正が行われ、アップデートすることが強く推奨されています。
foreach
が高速化された影響などで Extension の一部が正常に動作しない問題や、いくつかのバグが報告されていますので、バージョンアップの際には注意してください。PHP 4.3.10 では、古い Zend Optimizer を使用すると、問題が起こることが既に報告されており、新しいバージョン Zend Optimizer 2.5.7 が公開されています。
PHP 4.3.10RC2 が公開された後に、空文字列のキーが含まれている配列要素が var_export()
で出力されないという問題を見付けましたので、PHP-dev メーリングリストと bugs.php.net に報告してみました。
PHP 4.3.10 が公開された後に、この問題は修正されましたが、PHP 4.3.10 ではこの問題は存在したままです。この問題の影響を受ける人はあまりいないと思いますが、一応、メモしておきます。個人的には影響を受けるようなコードを書いていましたので、PHP 4.3.10 用に対処する必要があるのですが・・・。
PHP 4.3.9 以前、5.0.2 以前のバージョンに複数のセキュリティ問題が報告されています。PHP Multiple Vulnerabilities (Secunia) によると、以下のセキュリティ問題が修正されています。
pack()
関数の Integer Overflow 問題。悪用されると、
任意のコードを httpd の動作権限で実行される可能性がある。unpack()
関数の Integer Overflow 問題。safe_mode_exec_dir
で設定したセキュリティ制限が回避されてしまう問題。
マルチスレッドで動作する Unix ベースの Web サーバでの問題。realpath()
の組み合わせにより、細工された Path を通して、セーフモードの
セキュリティ制限を回避できてしまう問題。realpath()
が長いファイル名を丸めるという実装により起きる。unserialize()
など関数で、シリアライズされた文字列を元に戻す処理に問題があり、
細工された文字列を与えると、情報を漏らしてしまったり、任意のコードを実行してしまうという問題。shmop_write()
関数の問題により、領域外のメモリの場所に書き込みを行おうとする問題。addlashes()
関数が正しく \0
(NULL バイト) をエスケープしない問題exif_read_data()
関数が長いセクション名を扱う際に、不明な境界エラーが発生する問題。magic_quotes_gpc
の問題により、ファイルアップロード時に、一階層分のディレクトリ・トラバーサル
を許してしまう問題。unserialize()
関数では、リモートから任意のコードが実行される可能性がありますので、ユーザからの入力を unserialize()
に渡すようなことを行っている場合は、バージョンアップするなどの対処を行ってください。
よく使用されている
Vim/Gvim の modelines
オプションの処理に問題があり、これを悪用すると、権限の昇格を許してしまうという問題が報告されています。modelines
を無効にすることでこの問題は回避できます。Vim の設定ファイル ~/.vimrc などに、以下のような設定を行います。
set modelines=0
この問題は、Vim 6.3.045 の Patch で修正されたそうです。
Windows の修正プログラムが公開されています。
対象: Windows NT 4.0 Server SP6a, Windows 2000 SP3/SP4, Windows XP SP1/SP2, Windows Server 2003
最大深刻度: 重要
参考
対象: Windows NT Server 4.0 SP6a
最大深刻度: 重要
参考
対象: Windows NT 4.0 Server SP6a, Windows 2000 SP3/SP4, Windows XP SP1/SP2, Windows Server 2003
最大深刻度: 重要
参考
対象: Windows NT 4.0 Server SP6a, Windows 2000 SP3/SP4, Windows XP SP1/SP2, Windows Server 2003
最大深刻度: 重要
参考
対象: Windows NT 4.0 Server SP6a, Windows 2000 SP3/SP4, Windows Server 2003
最大深刻度: 重要
参考
英語版の Opera 7.54u1 で複数のセキュリティ問題が修正されているそうです。
Opera 7.54u1 でも既にセキュリティ問題が報告されていますので、気を付けてください。。
Adobe Reader 6.0.2 以前では、PDF 文書に埋め込まれた Flash ファイルや QuickTime ムービーを再生する時に、任意のコードが実行されてしまう問題が報告されています。
また、Adobe Reader 6.0.2 以下には、PNG 画像を扱うライブラリである libpng の問題と、eBook プラグインが .etd という拡張子のファイルを扱う際の問題が存在するようです。
これらの問題が修正された Adobe Reader 6.0.3 の英語版と日本語版のアップデートが公開されています。
また、@police の Adobe 社 Adobe Acrobat/Adobe Reader における脆弱性について(12/15)更新によると、Acrobat Reader 5.0.9 Unix版でも影響を受けるそうです。
また、Unix 版の Acrobat Reader 5.0.9 以下のバージョンで、特定の状況下で悪意のあるユーザのアクセスを許してしまうという問題があるそうです。
Acrobat Reader 5.0.10 が公開されていますので、アップデートを行ってください。
Namazu 2.0.13 以前の namazu.cgi を使用している場合、タブから始まる文字列を入力されるとクロスサイトスクリプティングが可能という問題があります。
問題が修正された Namazu 2.0.14 が公開されていますので、namazu.cgi を使用している場合はアップデートを行ってください。
(2004.12.26 追加)
Ethereal 0.9.0 から 0.10.7 までのバージョンに、複数の Ethereal をクラッシュさせることが可能という問題や、巨大な一時ファイルを作成させてディスク領域を圧迫することが可能という問題が報告されています。
これらは Ethereal 0.10.8 で修正されています。
Samba 2.x と Samba 3.0.9 以前のバージョンに、外部から Integer Overflow を引き起こされる問題が報告されています。
Samba 3.0.10 で修正されています。
Gentoo Linux で Linux カーネル 2.6 に移行する時に役に立つ情報。
オープンソースのブラウザ、メール環境。
Web 開発に特化したスクリプト言語。セキュリティ問題が修正され、アップデートすることが強く推奨されています。
PHP 自体をセキュアにするための Patch 集。現在は PHP 4.3.9, PHP 4.3.10, PHP 5.0.3 に対する Patch が公開されています。
バージョン管理システム。
データベース管理システム(RDBMS)。リリース候補の第 1 版
オブジェクト指向言語。1.3 系はサポート終了(End of Life, EOL)プロセスに入ったそうです。
GTK+ を使用するメールクライアント、ニュースリーダ。リリース候補。12月24日に 1.0.0 正式版が公開される予定だそうです。
オープンソースのネットワーク侵入検知システム(NIDS)。2.3.0 のリリース候補第2版。
ネットワーク分析ツール。セキュリティ問題の修正が行われています。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。セキュリティ問題の修正が行われています。
メールサーバ。
PHP 4.3.0 より前のバージョンで標準入力、標準出力、エラー出力を STDIN, STDOUT, STDERR を定数にするコードに間違いがありましたので、コードを修正しました。指摘してくださった方、どうもありがとうございました。
PHP-QAT で PHP 4.3.10RC2 が公開されています。
PHP-QAT で PHP 5.0.3RC2 が公開されています。
PHP でも PDFlib を使用できますのでメモしておきます。PDFlib 6.0.1 と PDFlib 5.0.4p1 が公開され、LibTiff のセキュリティ問題の修正が行われているそうです。PHP で PDFlib と Tiff 画像を使用している場合は、PDFlib をアップデートしておくと良いと思います。
PDFlib Lite 5.0.4p1 のソースコードのダウンロード先が分かりにくいのですが、以下のページがからダウンロードできます。現在は、Unix/Linux 版のみ PDFlib Lite 5.0.4p1 になっています。
参加してきました。トラックバックサーバの実装については興味がありましたので、参加して良かったと思います。PEAR::Net_TrackBack は http://php.hoge.org/Net_TrackBack-0.1.0.tgz から取得できるようになっています。また、試してはいませんが、pear
コマンドでもインストールできるそうです。
$ pear install http://php.hoge.org/Net_TrackBack-0.1.0.tgz
興味のある人は試してみると良いと思います。RSS なども生成できるようになっていますので、結構長いコードを予想していたのですが、思ったよりも短いソースコードでした。
確か、プレゼンテーション資料を PHP by Hoge Project で公開する予定というお話だったと思います。
よく使用されているブラウザの多くでなりすましが可能になってしまう問題が報告されています。
他にも、Mozilla Suite や Mozilla Firefox などのエンジンに Gecko を使用している製品が外部からブラウザをクラッシュさせられるという問題が報告されています。
この問題は Javascript を無効にすることで回避できるようです。
他にも、以下の問題が報告されています。
不正なホスト名を指定された時のエラーメッセージに潜在的に内部情報が含まれてしまう可能性があるという問題が報告されています。patch(squid-2.5.STABLE7-dothost.patch) が公開されています。
PDFlib 6.0.0 以前と PDFlib 5.0.4 以前に存在する LibTiff のセキュリティ問題を修正した PDFlib 6.0.1 と PDFlib 5.0.4p1 が公開されています。
Tiff 画像を扱うライブラリの LibTiff に複数の Buffer Overflow や DoS 攻撃を受けるという問題が報告されています。
Internet Week 2004 Security Day の講演資料が公開されています。
Mozilla Project が作成しているメールクライアント、RSS リーダ、ニュースリーダ。1.0 になりました。日本語版は 12 月下旬に公開予定になっています。
ネットワーク負荷の監視、グラフ化ツール。
PDF を扱うライブラリ。LibTiff のセキュリティ問題が修正されています。Lite 版でないものは商用です。
Microsoft から Internet Explorer の累積的なセキュリティ更新プログラムが公開されています。影響を受けるバージョンの Internet Explorer を使用している場合は、アップデートしておいた方が安全です。
PHP 関連の話題についてのメモです。
PHP-QAT で PHP 5.0.3RC1 が公開されています。多くのバグ修正が行われています。修正内容などについては、PHP 5.0.3RC1 NEWS にあります。
Perl で PHP のテストを行う方法についての資料とデモコードが公開されています。
PlanetXML :: PHP Manual in VIM help format で英語版とドイツ語版ですが、Vim のヘルプファイルと同じ形式の PHP マニュアルが公開されています。
Vim のヘルプファイルと同じように使用できますので、~/.vim/doc/ などにphp_manual.txt を置いておくだけで、:help phoinfo
など、PHP の関数名を help コマンドの後に付けて実行するだけでPHP のマニュアルが表示できます。タグジャンプなども使えますので、かなり便利かもしれません。
緊急で Internet Explorer 用の累積的なセキュリティ更新プログラムが公開されました。
以前に他のブラウザなどでも報告されている libpng に関するセキュリティホール の影響を Solaris 版の Netscape 7 でも受けるということのようです。Solaris 版以外の Netscape 7 でも同様の問題があるとされていますが、回避手段はなく、解決方法としては他のブラウザに乗り換えるという方法しかないようです。
JDK 5.0 の日本語ドキュメントが公開され、ダウンロードできるようになっています。
Apache 2.1 に向けてのドキュメントが公開されたようです。
X Window System 上で動作する多言語対応のターミナルエミュレータ。バグ修正が行われています。
GTK+ を使用するメールクライアント、ニュースリーダ。12/24 に 1.0.0 を公開する予定だそうです。
ソースコード検索エンジン。
12月26日分を追加。
12月19日分を追加。
12月12日分を追加。
このページを作成。12月 5日分を追加。
LastUpdate: 2004-12-26 | HOME