パスワードを忘れた? アカウント作成
3027354 story
PHP

PHP 5.3.12とPHP 5.4.2、脆弱性が完全には修正されていないことが判明 18

ストーリー by headless
判明 部門より
Kidzuki_Nihiru 曰く、

PHPをCGIとして使用する場合にリモートからコマンドライン引数を指定してPHP-CGIバイナリーを実行できるという脆弱性(CVE-2012-1823)が発見され、PHP開発チームはPHP 5.3.12とPHP 5.4.2を公開した。しかし、脆弱性が完全には修正されておらず、改めて脆弱性情報データベースにCVE-2012-2311として登録されたとのこと( threatpostの記事Die Eindbazenの記事Yet Another PHP Security Blogの記事徳丸浩氏のブログ記事)。

この脆弱性は2004年から発見されずに存在していたもので、Apache mod_cgiを使用している環境などが影響を受けるという。悪用されるとリモートからローカルディスク上のファイルを実行されたり、DoSを実行されたりする可能性がある。攻撃者がサーバーにファイルをアップロードできる場合、任意のコードを実行可能となる。広く使われているApache+mod_phpやnginx+php-fpmでは影響を受けないとのこと。

暫定的な回避方法については徳丸浩氏のブログやYet Another PHP Security Blogの記事を参照してほしい。Die Eindbazenの記事にはパッチも掲載されている。仕事やプライベートでPHPを利用されている方は急いで確認をしよう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • CGIバイナリへの引数をリモートで渡せるってのはCGI側の歴史的事情なので、PHPのマニュアルにきっちり解釈しない、対策済みと書いてあったはず。
    自分がなにか勘違いしてるんでしょうか?

    #本家コメントを見てきたらパッチを4ヶ月放置とか

  • by Anonymous Coward on 2012年05月06日 18時34分 (#2147786)

    バグ修正のプロセスに問題があるんじゃないか。
    あと、同様に修正したつもりになってるが、十分な修正でないケースについては、どうやって担保するんだ?

    • by Anonymous Coward

      ちょっと前にテストせずに出荷して祭になった記憶も新しいのに
      そんなこと期待できないわな。プロセス以前に開発スタンスが
      どこかおかしいと思う。

    • って開発している側は営業のことを思っているに違いない。

      「バグ修正のプロセスに問題」まさにこれに尽きると思いますが
      理想と現実に差があるわけでそうたやすくは無いです。

      つまり一人で開発をしているわけではなくチームなわけですから
      ことはうまく進みません。世界中にコミッターがいるわけですから

      そいつらを使えばいいんです

      あと、

      • by Anonymous Coward

        > あと、

        このあと明かされる開発プロセスの革新的アイデアっ!

      • by Anonymous Coward

        単に新しい感覚に目覚めてしまったのかもしれん
        「ああっ、テストせずにリリースするこの罪悪感とスリルがたまらんっ!」

        とか

        • by Anonymous Coward

          案外あるかもしれません。

          最近の日本でもこんなん多いいですよ

    • by Anonymous Coward

      修正したつもりになってるが、十分な修正でないケース

      PHPに限らず、報告に基づくテストケースから漏れている部分に関して担保することは不可能なのでは

      • by Anonymous Coward

        PHPではなく別のプロジェクトですが、「仕様上、負の値を許容するはずなのに-1を入れたらクラッシュする」という問題を挙げたら、
        「-1」は許容されるように修正されたが、「-1以外の負の値」に対しては対応されていない、みたいなのを体験したことがあります。
        (上記は実際の例ではないです)

    • by Anonymous Coward

      まあこんな言語ですし
      http://developers.srad.jp/comments.pl?sid=562361&cid=2114380 [srad.jp]

  • by Anonymous Coward on 2012年05月06日 19時10分 (#2147795)

    いつものことながら、PHP陣営の対応がアレなのは置いておくとして
    実際問題、PHPをわざわざCGI起動させるように設定してあるところって
    suEXECか、FastCGIか、あるいはその両方を使ってるところくらいでしょ?
    mod_phpとFastCGIは今回の件について関係ないし
    suEXECは、そもそもこういう時の被害を最小限に食い止める為にあるもんだ
    つまり実害はほとんど無いといって差し障りないんじゃないの?

    そりゃあ素人さんがHOW TO本片手に意味も分からず設定した、自宅サーバとかなら被害もあるかも知れないけれど
    そんなのはどうせ他にも穴だらけだろうから、今回の件だけ対策したってねえ…

    # PHP陣営には早々に対策して貰いたいのは山々だけど、こんな程度のことで大騒ぎせんでも…
    # 普通にバグレポ投げとけばいいだけじゃないの?

    • by Anonymous Coward on 2012年05月07日 7時00分 (#2147943)

      そういう素人さん向けのHOW TO本を書いてしまったことに責任を感じています。
      絶版にしてもらいたいんだけど、なぜか売れてるみたいで増刷がかかってしまう。

      親コメント
    • by Anonymous Coward

      実際問題、PHPをわざわざCGI起動させるように設定してあるところって

      さくらインターネットみたいな共用レンサバ屋とかですね

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...