個人的なメモと備忘録 2005年 7月

*セッションハイジャック対策

本当にセッションハイジャック対策になるのかは分かりませんが、興味深いのでメモしておきます。

Chris Shiflett: PHP Security Forum で知ったのですが、Question about session hijacking の議論でWeb アプリケーションへのアクセス中に User Agent や Accept Charset などの HTTP ヘッダ文字列を変更するような人はほとんどいないという事を利用して、以下のような関数が挙げられていました(この関数はセッション管理クラスの中で使用されることを想定しているようですので、このままでは使えません)。

// get the fingerprint of the user
function getFingerprint()
{
    $fingerprint = $this->secret;
    if (array_key_exists('HTTP_USER_AGENT', $_SERVER)) 
    {
        $fingerprint .= $_SERVER['HTTP_USER_AGENT'];
    }
    if (array_key_exists('HTTP_ACCEPT_CHARSET', $_SERVER))
    {
        $fingerprint .= $_SERVER['HTTP_ACCEPT_CHARSET'];
    }
    $fingerprint .= session_id();
    $fingerprint = md5($fingerprint);
    return $fingerprint;
}

フィンガープリントを取っておいて、違う場合はログに書き込む、またはエラーメッセージを返すなどの対処を行うと、セッション ID を盗まれたとしても、盗んだ相手の User Agent や Accept Charset を同じにしなければ検出できますし、セッションハイジャックを防止できる可能性が高くなりますので、対策の一つとしては有効かもしれません。

Proxy を使用していると、IP アドレスが変更されたりすることは多いのですが、User Agent や Accept Charset をアクセス毎に変更するブラウザは多くはないと思います。うまく使えば有効な対策になるかもしれません。

*ifsetor()

少し前になりますが、PHP 開発者メーリングリスト(php.internals)で興味深い議論がありましたのでメモしておきます([PHP-DEV] PHP 5.1)。

以下のような ifsetor() 関数の実装例が提案されています。

function ifsetor( &$x, $default = NULL )
{
    if ( ! isset( $x ) ) {
        $x = $default;
    }
    return $x;
}
$a = ifsetor( $_GET['a'], '' );
$b = ifsetor( $_GET['b'], '' );

それまで知らなかったのですが、関数の引数をリファレンスにすると、未定義エラーは発生しないようです(PHP 4.2.2 以降で確認)。関数を呼び出す分、速度は少し遅くなりますが、以下のように書くよりはかなり読みやすいコードになると思います。2 回も同じ変数を書く必要がないというのは大きなメリットかもしれません。

$a = isset( $_GET['a'] ) ? $_GET['a'] : '';
$b = isset( $_GET['b'] ) ? $_GET['b'] : '';

*Path Disclosure and PHP

Path Disclosure and PHP - iBlog - Ilia Alshanetsky によると、本来、script.php?name=foo のように入力変数の受け取りを期待しているスクリプトで、script.php?name[]=foo のような形で入力変数を受け取ると、スクリプトによってはエラーが発生し、ディレクトリパスが表示されてしまうという問題があるそうです。

対策として、以下のようにエラーをブラウザに表示しないように設定し、別でファイルにログを記録する方法と、受け取り時にキャストを使用して型を強制してしまうという方法が挙げられています。

<?php

ini_set(“display_errors”, 0);
ini_set(“log_errors”, 1);
ini_set(“error_log”, “/path/to/php/errors”);

?>

*PHP 4.4.0 と PHP 5.1beta3 公開

PHP 4.4.0 と PHP 5.1 beta3 が公開されています。

PHP 4.4.0 では、バグ修正のみですが、リファレンスによるメモリ破壊のバグが修正されています。リファレンス関連でエラーが発生する可能性がありますので、バージョンアップの際にはテストを行っておいた方が安全です。

また、mb_mime_encoding() 関数に問題があり、mb_send_mail() などで日本語の件名が文字化けする可能性がある問題が報告されていますので、注意してください([PHP-users 26184] PHP4.4.0でメールを送信すると、題名が文字化けします。)。

• PHP 4.4.0
• PHP 4.4.0 Release Announcement
• PHP 4 ChangeLog
• PHP 5.1 Beta 3

*その他

• PEAR::XML_RPC 1.3.3

  XML_RPC がまたバージョンアップしています。parseResponse() が呼ばれる毎にメモリリークを起こす問題が修正されているようです。

• (IN)SECURE Magazine 1.2

  セキュリティ関係のデジタルマガジン。26 ページから Advanced PHP security - vulnerability containment という記事があります。

• hardened-php.net: Serious Remote Security Hole in PHP 5.1 (beta) fixed (PHPDeveloper.org)
• PHP and Session Fixation (Hardened-PHP)

*Windows

• Microsoft Word の脆弱性により、リモートでコードが実行される (903672) (MS05-035) (Microsoft)
• マイクロソフト カラー管理モジュールの脆弱性によりリモートでコードが実行される (901214) (MS05-036) (Microsoft)
• JView プロファイラの脆弱性によりリモートでコードが実行される (903235) (MS05-037) (Microsoft)
• JVNTA05-193A Microsoft Windows、Internet Explorer および Word における脆弱性 (JVN)
• JVN#257C6F28 Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性 (JVN)
• Microsoft JView プロファイラの脆弱性(MS05-037) について (IPA)

*Mozilla, Mozilla Firefox

• Mozilla 製品における既知の脆弱性: Firefox 1.0.5 で修正済み
• Mozilla 製品における既知の脆弱性: Thunderbird 1.0.5 で修正済み

*その他

• JVN#E9048769 データ圧縮ライブラリ zlib におけるバッファーオーバーフローの脆弱性(*1) (JVN)

*XMLRPC のセキュリティ問題

PEAR などの XMLRPC の実装で、PHP コードの実行を許してしまうセキュリティ問題が発見されています。XMLRPC を使用している PHP スクリプトで影響を受けますので、最新版にアップデートしてください。

PEAR であれば、pear upgrade XML_RPC を実行すれば最新版にアップデートされます。

• PEAR XML_RPC Library Remote Code Execution
• PEAR::Package::XML_RPC
• XML-RPC for PHP
• XML-RPC for PHP PHP Code Execution Vulnerability (Secunia)
• PEAR XML_RPC PHP Code Execution Vulnerability (Secunia)

XML-RPC for PHP Remote Code Injection Vulnerability (SecurityFous) でこの問題の影響を受ける製品一覧がまとめられています。確認しておくと良いと思います。

PHP Security Consortium: SecurityFocus Summaries によると、XMLRPC のセキュリティ問題の影響を受ける主な製品とバージョンが以下のようにまとめられています。

• Serendipity 0.8.2
• PEAR XML_RPC 1.3.1 (and 1.3.2 fixes additional vulnerabilities)
• XML-RPC for PHP 1.1.1
• Drupal 4.6.2 or 4.5.4
• Xoops 2.0.12a
• phpMyFAQ 1.4.9 or 1.5.0 RC5
• WordPress 1.5.1.3
• Nucleus CMS 3.21
• phpAdsNew 2.0.5
• phpPgAds 2.0.5

引用: SecurityFocus Summaries: Alerts from SecurityFocus Newsletter #306

その他のリンク

• Webサイトの管理者は要注意，PHPアプリ用ライブラリの脆弱性を突くコードが出回る (IT Pro)
• Vulnerability Note VU#442845 Multiple PHP XML-RPC implementations vulnerable to code injection (US-CERT)

*SecurityFocus Summaries

PHP Security Consortium で、PHP に関連したセキュリティ問題のみを取り上げたSecurityFocus Summaries が開始されています。PHP 自体のセキュリティ問題、PHP を使用した製品の他、Mozilla などのブラウザや Apache などの関連性のあるセキュリティ問題が取り上げられています。PHP 関連のセキュリティ問題を確認するのに非常に便利です。

• PHP Security Consortium
• PHP Security Consortium: SecurityFocus Summaries

*PHP 4.4.0 RC2 と PHP 5.1 beta2 公開

PHP 4.4.0RC2 と PHP 5.1.beta2 が公開されています。PHP 4.4.0 では、致命的なリファレンスのに関するバグ(Bug #29423: reference count gets wrong when return-reference-calling a normal function,Bug #32685: Segfault when using assignment by reference within function)が修正されています。この変更に伴い、PHP 4.3.x とはバイナリレベルので互換性が取れない可能性があるそうです。

詳しくは、PHP 5.1 beta2 の NEWS と、PHP 4.4.0RC2 の NEWS を参照してください。

• PHP 4.4.0RC2
• PHP 5.1.0 Beta 2
• 【PHPウォッチ】第18回 PHP誕生10周年，PHP 5.1とPHP 4.4が登場 (IT Pro)

  登録が必要です。

*その他

• phpa

  CLI 版 PHP で対話モードを実現する PHP スクリプト。PHP 4.3.0 以上とコンパイル時に readline が組み込まれているか、拡張モジュールとして読み込む必要があります。便利です。

• Hardened PHP v0.3.2

  PHP のセキュリティ強化のための Patch 集。現在は PHP 5.0.4, PHP 4.4.0RC2, PHP 4.3.11 に対する Patch が公開されています。また、マニュアルも作成されたようです。

• PHP and Session Fixation

  Hardened PHP の作者による PHP と Session Fixation についての解説と考察。

• PHP4 Rast モジュール

  Rast: 全文検索システム の機能を PHP から呼び出すための PHP 拡張モジュール。

• PHP_Beautifier
• Phalanger the PHP Language Compiler for .NET Framework

*Windows

• Windows 2000 SP4 用の更新プログラム ロールアップ 1 (Microsoft)
• Microsoft Baseline Security Analyzer v2.0 (IT プロフェッショナル向け) (Microsoft)
• Microsoft Security Advisory (903144) (Microsoft)
• Internet Explorer "javaprxy.dll" Memory Corruption Vulnerability (Secunia)

Windows 2000 SP4 用の更新プログラム ロールアップ 1 を適用した時に不具合が起きることがあるようです。

• Windows 2000 SP4 対応の更新プログラム ロールアップ 1 (KB891861) の適用後に Excel や Word でフロッピーディスクにアクセスすると応答を停止する場合がある (Microsoft)
• Update Rollup 1 for Windows 2000 SP4 をインストールすると不安定になる事例 (セキュリティホール memo)

*Adobe Acrobat

• Adobe Reader / Acrobat Two Vulnerabilities (Secunia)
• Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow Vulnerability (Secunia)
• Adobe Reader for Linux Insecure Temporary File Creation (Secunia)
• Adobe Reader / Adobe Acrobat Local File Reading Vulnerability (Secunia)
• 米Adobe，Unix／Linux版「Acrobat Reader」のセキュリティ・ホールを公開 (IT Pro)
• Adobe AcrobatとReaderのMac版にパソコン上のファイルを実行されるセキュリティ・ホール (IT Pro)

*Mozilla

• Mozilla / Mozilla Firefox Frame Injection Vulnerability (Secunia)
• Mozilla / Firefox / Camino Dialog Origin Spoofing Vulnerability (Secunia)

*zlib

• zlib "inftrees.c" Buffer Overflow Vulnerability (Secunia)
• zlibにバッファオーバーフロー脆弱性 (スラッシュドット・ジャパン)

*その他

• Sudo Arbitrary Command Execution Vulnerability (Secunia)
• tcpdump BGP Denial of Service Vulnerability (Secunia)
• コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について (IPA)
• 情報セキュリティ早期警戒パートナーシップガイドラインの改訂について (IPA)
• 情報システム等の脆弱性情報の取扱いに関する研究会 〜運用実績を踏まえた問題点整理と今後の取組み〜 (IPA)
• ドメイン名の登録と DNS サーバの設定に関する注意喚起 (IPA)
• JCE 1.2.1 の証明書期限切れに関する注意喚起 (IPA)
• JPCERT/CC Alert 2005-06-28: VERITAS Backup Exec に含まれる脆弱性に関する注意喚起 (JPCERT/CC)
• JPCERT/CC Alert 2005-06-29: DNS サーバの設定とドメイン名の登録に関する注意喚起 (JPCERT/CC)
• ruby-1.8.2に任意のコマンド実行の脆弱性 (スラッシュドット・ジャパン)

  バージョン 1.8.2 以前の ruby に含まれる XMLRPC サーバにも、リモートの攻撃者に任意のコマンド実行を許してしまう問題があります。

• HTTP Request Smuggling (セキュリティホール memo)