HOME | LastUpdate: 2005-08-15
この問題は PHP に限らないのですが、mail()
関数で、From: などのフィールドに外部から入力されたデータを追加する場合、外部からの入力変数のチェックを行っていないと任意のメールヘッダを追加できてしまうという問題についての指摘です。
よく考えれば当然ですが、入力チェックを忘れやすい部分ですので気を付けた方が良さそうです。サンプルでは、bcc: を追加する方法が示されています。
Oracle のサイトで PHP のパフォーマンス工場やセキュリティについての文書が公開されていましたので、メモしておきます。Oracle を使用する際の PHP のパフォーマンスを向上させるための設定についての文書です。
現在は以下の文書が公開されています。
3 番目の Accelerating PHP Code Performance for Oracle では、Apache や サーバの設定についても言及していますので、Oracle を使わない場合でも参考になりそうです。
PEAR::XML_RPC 1.4.0 がバージョンアップしています。MAJOR SECURITY FIX ということで、セキュリティ問題の修正が含まれていますので、pear
コマンドなどを使用してアップデートした方が良いと思います。
実際には eval()
関数を使用していた場所が全て書き換えられています。
Web アプリケーションで影響を受ける可能性のあるセキュリティ問題について、分類とその解説を行った文書です。日本語訳もありますので、読んでおくと参考になると思います。
Windows 上で Python を使って PHP のバージョンを簡単に切替える方法についての紹介です。例では、Apache 2.0.x 上で動作している PHP 4.4.0 と PHP 5.0.4 を切替える方法が示されています。
Hardened-PHP から Hardening-Patch v0.4.1 が公開されています。
8月分のセキュリティ更新プログラムが公開されています。
ワームが出回っているようですので、まだの場合は対策を行ってください。Windows の TCP 445 番ポートを介して感染するようです。
Vim 6.3.081 以前のバージョンで、modelines が有効になっている場合、glob()
コマンドが使用できてしまうという問題が報告されています。これにより、細工された文書を開くと任意のシェルコマンドが実行されてしまいます。
Vim 6.3.082 の Patch でこの問題が修正されています。
また回避策として、.vimrc に set modelines=0
または、set nomodeline
を設定するという方法が挙げられています。
mod_sql の SQLShowInfo ディレクティブと ftpshut にセキュリティ問題が見つかったそうです。回避方法として、mod_sql の SQLShowInfo を使用しない、ftpshut の設定に、%C, %R, %U を使用しないという方法が挙げられています。
この問題は ProFTPD 1.3.0rc2 で修正されています。
Apache 2.0.x で、Apache を Web Proxy として設定していた場合に、HTTP request smuggling 攻撃が可能という問題が報告されているそうです。
この問題は Apache 2.0.55 で修正される予定になっています。
GTK+ 2.4 以降で動作するメール・ニュースクライアント。2.0.0 の正式版が公開されました。
テスト用に Windows 2000/XP 以降でも動作する開発版の Sylpheed 2.1.0 も公開されています。
FTP サーバ。セキュリティ問題の修正が含まれています。
セキュリティスキャナ。
ファイル転送ツール。Rsync 2.6.5 から内部に含まれる zlib のバージョンアップが行われ、そのセキュリティ問題も修正されているそうです。
DVD で起動する Linux ディストリビューション。KNOPPIX 4.0 LinuxTag は DVD になっているそうです。
Windows 用のパケット操作ライブラリ。
このページを作成。2005年 8月15日分を追加。
LastUpdate: 2005-08-15 | HOME