HOME | LastUpdate: 2005-02-27
PuTTY に2つのセキュリティ問題が報告されています。PuTTY のコードなどを利用しているツールでも影響を受ける可能性があるそうですので、確認と、必要であれば、アップデートを行っておくと安全です。
PuTTY のコードやコマンドを利用している FileZilla では影響を受けることが確認され、FileZilla 2.2.11 で対処されているそうです。
PuTTY 0.57 ベースにアップデートされました。
この掲示板によると WinSCP では PuTTY の SFTP のコードは使用していないため、このセキュリティ問題の影響は受けないそうです。
GTK+ を使用するメールクライアント、ニュースリーダ。2.0 への開発版。
システムに、RootKit が仕掛けられていないか検出するツール。
CD のみで起動可能な Linux ディストリビューション。起動時間の短縮のための変更が加えられているようです。
オープンソースのファイル転送ツール。2.6.4 のプレビュー版。
Proxy サーバ。Squid 2.5 STABLE9 版が公開されました。
Mozilla 系のブラウザ。多くのセキュリティ問題の修正が含まれています。公開された後、不具合が見つかったそうです。アップデートはもう少し待った方が良いかもしれません。
Mozilla 系のブラウザ、メール環境。1.8 のベータ版。
PHP マニュアルを表示する Vim スクリプトを更新して、カラー表示に対応させてみました。
wwwcheck.php で簡単な Cross-Site Request Forgery(CSRF) 問題への対処を行いました。もし、このツールを使用している方がおられましたら、できる限りアップデートを行ってください。
PHP 自体をセキュアにするための Patch 集。現在は 0.3 へのプレビュー版が公開されています。var_filter という機能を追加するようです。Patch を適用すると、PHP のコンパイル時に自動的に有効になります。
ソースを見ただけですが、php.ini で以下の設定が可能になるようです。
詳しくは以下を参照してください。
PHP で使用可能な暗号化方式に付いての説明と、Mcrypt の使い方についての解説です。
Proxy サーバ。Squid 2.5 STABLE9 のリリース候補1版が公開されました。
PDO(PHP Data Objects Interface) は PHP 5.x で使用可能なデータベースの抽象化を行う PHP の拡張モジュールです。PHP マニュアルの XCVII. PDO Functions に詳しい説明があります。PHP 5.1 では正式に組み込まれる事になるようです。
PDO は PDO_PGSQL や、PDO_MYSQL などのドライバと一緒に使用します。PEAR::DB などと同様の機能を提供するものですが、PHP スクリプトを解析する必要がありませんので、PEAR::DB よりも非常に高速です。
ベータ版のリリースということでテストを行うことが呼びかけられています。
PHP で書かれている HTML/XHTML フィルタ。不正な HTML の修正やタグ、属性などの削除が簡単に行えます。クロスサイトスクリプティング(XSS)対策などに使用できます。
多くのセキュリティ問題に対する修正プログラムが公開されました。非常に危険性の高い問題の修正も含まれますのでアップデートを行っておいた方が安全です。
2005 年 2 月のセキュリティ情報 (Microsoft) に必要な情報がまとまっています。
Mozilla や Firefox に 3 つのセキュリティ問題が報告されています。修正されたバージョンはまだ公開されていませんが、CVS 上では修正されているそうです。これらの問題は Mozilla 1.7.5、Firefox 1.0、Netscape 7.2 で確認されています。
about:config
などの本来は
表示されるべきではないページを iframe などに表示させることが可能という問題です。
これによって、プラグインが勝手にブラウザ設定を変更することはできないようですが、
ユーザに設定を変更するなどの指示を出して、ユーザ自身に設定を書き換えさせることは可能だそうです。
JVN に Squid のセキュリティ問題に関する情報が出ています。
2005年 3月に O'Reilly から出版される予定の Apache Security という本の紹介と Apache の管理ツールがあります。公式の Web サイトは 2月の下旬に立ち上げられるそうです。
企業内での社員教育、学校での授業、各種セミナーや研修などで利用できるように作成された PowerPoint および PDF 資料。
登録が必要です。PHPSC の設立に対する記事や Hardned PHP の紹介、PHP の拡張モジュールの eAccelerator などが紹介されています。
PostgreSQL 8.0 / 8.0.1 / 7.2.6 / 7.3.9 /7.4.7 についての変更点と技術情報。
Windows で使用できる SCP/SFTP クライアント。バグ修正が行われています。
オープンソースの Web サーバ。セキュリティ問題の修正が行われています。
ポートスキャナ。
Proxy サーバ。Squid 2.5 STABLE 8 が公開されました。Squid 2.5 STABLE 7 から多くのセキュリティ問題への対応が含まれています。
リモートからセキュリティ検査を行うツール。
PHP Security Consortium という団体が設立されました。現在は多くの PHP のセキュリティ関連の文書などが公開されています。
PHP Security Consortium: Projects には、PHP Security Guide が追加され、PHP で気を付けるべきセキュリティ問題についての詳しい解説があります。セキュリティ問題の基本的な部分についてはこれだけで十分だと思います。
PHP Security Consortium: Library には、PHP 関連のセキュリティ情報のリンク集があります。リンク先では勉強になる情報が多く集められています。
また、PHP Security Consortium: Articles には、Using PEAR's Text_CAPTCHA to Secure Web Forms という記事が追加されています。
この記事では GD ライブラリを使用して、ランダム文字列の画像を作成する PEAR ライブラリについての解説がされています。このライブラリを使用すると、PHP でパスワードを画像で表示するなどの機能が簡単に作成できるようになります。認証に画像を取り入れることにより、効果的に不正 ID 取得などを行うロボットに悪用されることを防ぐ事ができるようになります。
ただ、最近はこのような画像や音声を認証に使用することの問題について議論がありますので、安易に画像認証を使用するというのは止めておいた方が良いかもしれません。
気になった PHP 関連の話題のメモです。
PHP 4 と PHP 5 でのエラーハンドリングについて。
フォーム情報のなりすまし(Cross-Site Request Forgery(CSRF) や フォーム情報の改竄)を防止するのに Referer のチェックを行うという対処方法は役に立たないということが指摘されています。
この問題に対する対処方法として、トークンを発行し、セッション情報とフォームの hidden にトークンを設定して、POST 時にこれらの文字列が一致することを確認するという方法が挙げられています。
ソースコード検索エンジンの gonzui がバージョン 0.4 で PHP のソースコード検索に対応したようです。
今月の更新では非常に多くのセキュリティ問題の修正が行われるようです。
以前に公開されていた Security Adovisory / Errata の日本語訳がメーリングリストに投稿されていました。
RFC3986 です。URI の書式について書かれています。
Apache 2 に mod_ssl による SSL/TLS を組み込む際の設定についての解説、証明書の作成、インストール方法など。
Snort のルールヘッダ、ルールボディについての説明。
Firefox 1.1 は 6 月頃の予定になるそうです。
CD のみで使用可能な Linux ディストリビューション。IPA フォントが収録されるようです。
GTK+ を使用するメールクライアント、ニュースリーダ。Sylpheed 1.0.1 では gpgme-1.0 への対応とバグ修正が行われています。Sylpheed 1.9.1 は 2.0 に向けての開発版で、GTK2 への移行が行われています。
データベース管理システム(RDBMS)。セキュリティ問題のため、7.2.x 以降の全てのメジャーバージョンで修正が行われています。
バージョン管理システム。バグ修正が行われているようです。
Windows 上で Linux を動作させるための環境。Linux カーネルが 2.6 にバージョンアップされ、直接 Windows 上のドライブにアクセスできる cofs など、他にも多くの機能が追加されています。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。バグ修正が行われています。
Proxy サーバ。Squid 2.5 STABLE8 のリリース候補 4 版。セキュリティ問題への対応が含まれています。
X Window System 上で動作する軽量のウインドウマネージャ。1.4.0 のベータ版が公開されました。
ブラウザ。7.54u2 の日本語版が公開されています。
2005年 2月20日分を追加。
2005年 2月13日分を追加。
このページを作成。2005年 2月 6日分を追加。
LastUpdate: 2005-02-27 | HOME