アカウント名:
パスワード:
とてもIDでは言えないが、客の中にはいまだに5.5や5.3使ってるところがある。最悪なのはいまだに4.xのところ。
危ないよという意見は内外からも頻出しているけれどアップデートに合わせた修正を行う資金も無い、システムを停止する勇気も無い、痛い目に合うまで走りつづけるという・・・
RHEL6が2020年までサポートされる予定で、それに入っているPHPは5.3なので、あと4年は5.3を使い続けるところは結構多いでしょうねぇ。セキュリティ問題などは、現行PHPでの修正を5.3にバックポートするなど、RedHatが独自にサポートすることになっていますが、最近は全然更新されておらず、結構致命的な問題がいくつか放置状態なはず。
具体的に、致命的な問題が放置になっているCVE番号を教えていただけませんでしょうか。Redhatの評価でImportant以上のものはパッチが出ていると思っていたのですが、評価自体が問題とおっしゃっているの?
古いバージョンの php には、開発元が脆弱性とは認めていなくても、言語仕様自体にセキュリティ上の問題がある箇所がかなりあります。
例えば、CentOS (RHEL) 6 の php バージョンは PHP 5.3.3 ですが、『例えば、PHPを避ける』以降PHPはどれだけ安全になったか [tokumaru.org] から引用すると、
6.ヌルバイト攻撃の防御機能の追加(PHP-5.3.4 2010/12/9) よく知らているように、PHPの機能・関数にはバイナリセーフのものとそうでないものが混在しているため、ヌルバイト攻撃という攻撃手法が成立していました。 7.PDOのDB接続時の文字エンコーディング指定が可能に(PHP-5.3.6 2011/3/17) 昔は
6.ヌルバイト攻撃の防御機能の追加(PHP-5.3.4 2010/12/9) よく知らているように、PHPの機能・関数にはバイナリセーフのものとそうでないものが混在しているため、ヌルバイト攻撃という攻撃手法が成立していました。
7.PDOのDB接続時の文字エンコーディング指定が可能に(PHP-5.3.6 2011/3/17) 昔は
一つ上のコメントを書いたACですが、大変参考になりました。
言語仕様上、安全になっているということが考慮から抜けていましたね
最新の独自ビルド > 最新のディストリビューションパッケージ > 放置独自ビルド ≒ 放置パッケージ
# 頻繁に独自でコンパイルしつつ検証して適用して# 問題があれば修正してというのはなかなか大変だな・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
困ったことに (スコア:1)
とてもIDでは言えないが、客の中にはいまだに5.5や5.3使ってるところがある。
最悪なのはいまだに4.xのところ。
危ないよという意見は内外からも頻出しているけれど
アップデートに合わせた修正を行う資金も無い、
システムを停止する勇気も無い、
痛い目に合うまで走りつづけるという・・・
Re: (スコア:0)
RHEL6が2020年までサポートされる予定で、それに入っているPHPは5.3なので、あと4年は5.3を使い続けるところは結構多いでしょうねぇ。
セキュリティ問題などは、現行PHPでの修正を5.3にバックポートするなど、RedHatが独自にサポートすることになっていますが、
最近は全然更新されておらず、結構致命的な問題がいくつか放置状態なはず。
Re: (スコア:0)
具体的に、致命的な問題が放置になっているCVE番号を教えていただけませんでしょうか。
Redhatの評価でImportant以上のものはパッチが出ていると思っていたのですが、
評価自体が問題とおっしゃっているの?
脆弱性ではないけど、セキュリティ上問題のある言語仕様は修正されない (スコア:4, すばらしい洞察)
古いバージョンの php には、開発元が脆弱性とは認めていなくても、言語仕様自体にセキュリティ上の問題がある箇所がかなりあります。
例えば、CentOS (RHEL) 6 の php バージョンは PHP 5.3.3 ですが、『例えば、PHPを避ける』以降PHPはどれだけ安全になったか [tokumaru.org] から引用すると、
Re:脆弱性ではないけど、セキュリティ上問題のある言語仕様は修正されない (スコア:0)
一つ上のコメントを書いたACですが、大変参考になりました。
言語仕様上、安全になっているということが考慮から抜けていましたね
最新の独自ビルド > 最新のディストリビューションパッケージ > 放置独自ビルド ≒ 放置パッケージ
# 頻繁に独自でコンパイルしつつ検証して適用して
# 問題があれば修正してというのはなかなか大変だな・・・