PHP 5.3.12とPHP 5.4.2、脆弱性が完全には修正されていないことが判明 18
ストーリー by headless
判明 部門より
判明 部門より
Kidzuki_Nihiru 曰く、
PHPをCGIとして使用する場合にリモートからコマンドライン引数を指定してPHP-CGIバイナリーを実行できるという脆弱性(CVE-2012-1823)が発見され、PHP開発チームはPHP 5.3.12とPHP 5.4.2を公開した。しかし、脆弱性が完全には修正されておらず、改めて脆弱性情報データベースにCVE-2012-2311として登録されたとのこと( threatpostの記事、 Die Eindbazenの記事、 Yet Another PHP Security Blogの記事、 徳丸浩氏のブログ記事)。
この脆弱性は2004年から発見されずに存在していたもので、Apache mod_cgiを使用している環境などが影響を受けるという。悪用されるとリモートからローカルディスク上のファイルを実行されたり、DoSを実行されたりする可能性がある。攻撃者がサーバーにファイルをアップロードできる場合、任意のコードを実行可能となる。広く使われているApache+mod_phpやnginx+php-fpmでは影響を受けないとのこと。
暫定的な回避方法については徳丸浩氏のブログやYet Another PHP Security Blogの記事を参照してほしい。Die Eindbazenの記事にはパッチも掲載されている。仕事やプライベートでPHPを利用されている方は急いで確認をしよう。
んなあほな (スコア:1)
CGIバイナリへの引数をリモートで渡せるってのはCGI側の歴史的事情なので、PHPのマニュアルにきっちり解釈しない、対策済みと書いてあったはず。
自分がなにか勘違いしてるんでしょうか?
#本家コメントを見てきたらパッチを4ヶ月放置とか
それよりも (スコア:0)
バグ修正のプロセスに問題があるんじゃないか。
あと、同様に修正したつもりになってるが、十分な修正でないケースについては、どうやって担保するんだ?
Re: (スコア:0)
ちょっと前にテストせずに出荷して祭になった記憶も新しいのに
そんなこと期待できないわな。プロセス以前に開発スタンスが
どこかおかしいと思う。
Re:それよりも (スコア:2)
5.3.7(2011.8.18)→5.3.8(2011.8.24)PHP 5.3.7に重大なバグ、strncatの罠にはまる [srad.jp]
5.3.9(2012.1.10)→5.3.10(2012.2.2)1月に公開された「PHP 5.3.9」でのセキュリティ修正により生じた脆弱性を補う修正 [osdn.jp]
と、最近二回続けてやっちゃってるんですよね。
今回は新たな脆弱性を入れちゃったわけではないけど、
5.3.11(2012.4.26)→5.3.12(2012.5.3)
と、わずか1週間で次のバージョンアップ。なんか奇数版はかなり鬼門な感じ。
もうなんか、「脆弱性の修正ですので、アップデートすることを推奨」なんて言われても、すぐにアップデートする気にはなりません。
新バージョンが出ても、最低1ヶ月は寝かせとかないと安心できない。
Re:それよりも (スコア:1)
新バージョンが出ても、最低1ヶ月は寝かせとかないと安心できない。
で、その1ヶ月の間に攻撃されちゃうわけか
Re:それよりも (スコア:3)
アップデートしても脆弱性残ってれば攻撃されるのは結局一緒じゃないの?
うるせー!!外野はだまってろ!! (スコア:0)
って開発している側は営業のことを思っているに違いない。
「バグ修正のプロセスに問題」まさにこれに尽きると思いますが
理想と現実に差があるわけでそうたやすくは無いです。
つまり一人で開発をしているわけではなくチームなわけですから
ことはうまく進みません。世界中にコミッターがいるわけですから
そいつらを使えばいいんです
あと、
続きは CM の後で! (スコア:0)
> あと、
このあと明かされる開発プロセスの革新的アイデアっ!
Re: (スコア:0)
単に新しい感覚に目覚めてしまったのかもしれん
「ああっ、テストせずにリリースするこの罪悪感とスリルがたまらんっ!」
とか
wwwww (スコア:0)
案外あるかもしれません。
最近の日本でもこんなん多いいですよ
Re: (スコア:0)
PHPに限らず、報告に基づくテストケースから漏れている部分に関して担保することは不可能なのでは
Re: (スコア:0)
PHPではなく別のプロジェクトですが、「仕様上、負の値を許容するはずなのに-1を入れたらクラッシュする」という問題を挙げたら、
「-1」は許容されるように修正されたが、「-1以外の負の値」に対しては対応されていない、みたいなのを体験したことがあります。
(上記は実際の例ではないです)
Re:それよりも (スコア:1)
海外で働いていますが、それは普通の事です。
Re: (スコア:0)
値段相応の品質しか手に入らないのが世界標準です。
Re: (スコア:0)
まあこんな言語ですし
http://developers.srad.jp/comments.pl?sid=562361&cid=2114380 [srad.jp]
そこまで影響あるの? (スコア:0)
いつものことながら、PHP陣営の対応がアレなのは置いておくとして
実際問題、PHPをわざわざCGI起動させるように設定してあるところって
suEXECか、FastCGIか、あるいはその両方を使ってるところくらいでしょ?
mod_phpとFastCGIは今回の件について関係ないし
suEXECは、そもそもこういう時の被害を最小限に食い止める為にあるもんだ
つまり実害はほとんど無いといって差し障りないんじゃないの?
そりゃあ素人さんがHOW TO本片手に意味も分からず設定した、自宅サーバとかなら被害もあるかも知れないけれど
そんなのはどうせ他にも穴だらけだろうから、今回の件だけ対策したってねえ…
# PHP陣営には早々に対策して貰いたいのは山々だけど、こんな程度のことで大騒ぎせんでも…
# 普通にバグレポ投げとけばいいだけじゃないの?
Re:そこまで影響あるの? (スコア:1)
そういう素人さん向けのHOW TO本を書いてしまったことに責任を感じています。
絶版にしてもらいたいんだけど、なぜか売れてるみたいで増刷がかかってしまう。
Re: (スコア:0)
さくらインターネットみたいな共用レンサバ屋とかですね