2006-01-01から1年間の記事一覧
http://www.ganchiku.com/2006/09/jinriki_hatena_php.html から。 面白そうだったので、考えてみました。 \n"; $x = 0; while ( ++$x < 11 ) { echo "<tr><td>" . implode( "</td><td>", range( 10 * $x - 9, 10 * $x ) ) . "</td></tr>\n"; } echo "</table>\n"; ?>ワンライナーにすると以下の…
最近、多くのセキュリティ問題とバグの修正が行われています。 PHP 4.4.3, PHP 5.1.5RC1 最低でも PHP 5.1.4 か PHP 4.4.3 にアップデートすることが推奨されています。 PHP 5.1.5RC1 でもいくつかのセキュリティ問題が修正されています。 PHP 4.4.3 http://…
PHP internals で HTTP-Only Patch という投稿がありました。 この Patch を適用するかどうかで議論され、PHP 5.2 系のブランチに適用されたようです(デフォルトでは無効のようです)。 http://news.php.net/php.internals/25233 http://news.php.net/php.cvs…
最近、余裕がなくて全然更新できていません。
キミならどう書く 2.0 - ROUND 1 - ― Lightweigh…
iakio さんから Patch を修正したとの連絡をいただきましたので、3月5日の日記に追記しました。もし、以前に Patch を適用していた場合は再度適用し直しておいた方が良いと思います。また、この Patch は PostgreSQL の CVS にコミットしていただいたそうで…
以前のメモにおいて、PHP から PostgreSQL への接続で文字コードに SJIS(Shift JIS) を使用すると以下の問題があることを説明したのですが、分かりにくい点なども多いように思いますので、まとめ直しました。何か間違いや勘違いしているような部分がありまし…
最近の PEAR で報告されているセキュリティ問題の PEAR::Archive_Tar について追記しました。 実際に検証してみると、pear コマンドをスーパーユーザ権限で使用している場合、不正なパッケージのインストールを行うと非常に危険な感じがします。
mb_send_mail() 関数の第5引数(additional_parameter)と IMAP 関数において、safe_mode や open_basedir によるセキュリティ制限を回避されてしまう問題が報告されています。 PHP 4.4.2 と PHP 5.1.2 で確認されているそうです。 まだ修正は行われていません…
最近、PEAR のパッケージでいくつかセキュリティ問題が報告されています。PEAR::Archive_Tar はまだ修正されていませんが、他のパッケージについては必要に応じてアップデートしておく方が良いと思います。リンクの追加、記述の修正を行いました(2006.03.02)…
2006.03.06 追記 この問題については、iakio日誌(2006-02-15)において、PHP スクリプトで回避する方法の例と、PostgreSQL に Patch を当てて回避する方法を示しておられます。問題の影響を受ける場合は参考にすると良いと思います。 1月22日に書いた、addsla…
少し前になりますが、[PHP-users 28031] PATH_INFOについてというメールが気になったので調べてみました。 mod_rewrite を使用すれば簡単ですが、それ以外の方法でも一応、可能のようでしたので、メモしておきます。Apache 1.3.34 で確認しました。 mod_mime…
The addslashes() Versus mysql_real_escape_string() Debate (Chris Shiflett: The PHP Blog) で文字コードによっては addslashes() による SQL のエスケープ処理は問題があることが指摘されていました。 日本語でも、Shift_JIS を扱っている場合は同様の問…
Windows 版の PostgreSQL に DoS 攻撃が可能な問題と全てのプラットフォームでデータが消える可能性のあるバグが修正されているそうです。 Minor Versions 8.1.2, 8.0.6 Released 日本 PostgreSQL ユーザ会: PostgreSQL 8.1.2 付属ドキュメント
Hardened-PHP Project からセキュリティアドバイザリが2件出ています。 PHP ext/mysqli Format String Vulnerability PHP 5 から導入された mysqli では、例外を使用したエラー報告機能がありますが、エラーで例外が発生した際に、そのエラーメッセージはフ…
PHP 4.4.2 も公開されました。 PHP 5.1.2 と同様に、セキュリティ問題への対処が行われています。 また、マルチバイト文字列関数(mbstring)のバグも修正されています(詳しくは最近の mbstring 関係のバグのまとめを参照してください)。 PHP 4.4.2 Release An…
PHP 5.1.2 が公開されました。 HTTP レスポンス分割攻撃(HTTP Response Splitting)への対処と mysqli のフォーマット文字列脆弱性の修正、エラー表示でクロスサイトスクリプティング問題が発生するというセキュリティ問題が修正されています。 基本的には、P…
予定より早く修正プログラムが公開されることになりました。かなり危険な問題ですので、できる限り早くアップデートした方が良さそうです。 Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001) http://www.micros…
Secunia で Apache 2 の mod_ssl に DDoS 攻撃が可能な問題が報告されていました。 Apache 2 の CVS 版では修正されているそうです。Apache 2 mod_ssl Denial of Service Vulnerability http://secunia.com/advisories/18307/Apache の Subversion ログ http…
PEAR 1.0 - 1.3.5 のバージョンに含まれている PEAR Installer に、任意のコードが実行されてしまう可能性があったそうです。PEAR 1.4.0 以上ではこの問題はないとされています。 現在は PEAR 1.4.6 が公開されていますので、1.3.5 以下の古いバージョンの P…
PHP 5.1.2RC2 が公開されています。 http://qa.php.net/ PHP 5.1.2RC1 からの細かいバグ修正が行われています。 詳しくは、以下の URI を参照してください。 http://cvs.php.net/viewcvs.cgi/php-src/NEWS?view=markup&rev=1.2027.2.340
Windows 版の PHP の mysql_connect() で Buffer Overflow 攻撃が可能な問題が報告されています。 mysql_connect() の引数を外部から指定できるようにしていることはないと思いますので、あまり大きな問題にはならないと思います。[Full-disclosure] Windows…
PHP 4.4.2RC2 が公開されています。 http://qa.php.net/ Windows 版は以下で公開されています。 http://downloads.php.net/edink/PHP 4.4.1RC1 からの修正としては、セキュリティ対策とバグ修正です。 個人的に気になったものを挙げておきます。 HTTP レスポ…