The addslashes() Versus mysql_real_escape_string() Debate (Chris Shiflett: The PHP Blog) で文字コードによっては addslashes() による SQL のエスケープ処理は問題があることが指摘されていました。 日本語でも、Shift_JIS を扱っている場合は同様の問…

Windows 版の PostgreSQL に DoS 攻撃が可能な問題と全てのプラットフォームでデータが消える可能性のあるバグが修正されているそうです。 Minor Versions 8.1.2, 8.0.6 Released 日本 PostgreSQL ユーザ会: PostgreSQL 8.1.2 付属ドキュメント

Hardened-PHP Project からセキュリティアドバイザリが2件出ています。 PHP ext/mysqli Format String Vulnerability PHP 5 から導入された mysqli では、例外を使用したエラー報告機能がありますが、エラーで例外が発生した際に、そのエラーメッセージはフ…

PHP 4.4.2 も公開されました。 PHP 5.1.2 と同様に、セキュリティ問題への対処が行われています。 また、マルチバイト文字列関数(mbstring)のバグも修正されています(詳しくは最近の mbstring 関係のバグのまとめを参照してください)。 PHP 4.4.2 Release An…

PHP 5.1.2 が公開されました。 HTTP レスポンス分割攻撃(HTTP Response Splitting)への対処と mysqli のフォーマット文字列脆弱性の修正、エラー表示でクロスサイトスクリプティング問題が発生するというセキュリティ問題が修正されています。 基本的には、P…

予定より早く修正プログラムが公開されることになりました。かなり危険な問題ですので、できる限り早くアップデートした方が良さそうです。 Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001) http://www.micros…

Secunia で Apache 2 の mod_ssl に DDoS 攻撃が可能な問題が報告されていました。 Apache 2 の CVS 版では修正されているそうです。Apache 2 mod_ssl Denial of Service Vulnerability http://secunia.com/advisories/18307/Apache の Subversion ログ http…

PEAR 1.0 - 1.3.5 のバージョンに含まれている PEAR Installer に、任意のコードが実行されてしまう可能性があったそうです。PEAR 1.4.0 以上ではこの問題はないとされています。 現在は PEAR 1.4.6 が公開されていますので、1.3.5 以下の古いバージョンの P…

PHP 5.1.2RC2 が公開されています。 http://qa.php.net/ PHP 5.1.2RC1 からの細かいバグ修正が行われています。 詳しくは、以下の URI を参照してください。 http://cvs.php.net/viewcvs.cgi/php-src/NEWS?view=markup&rev=1.2027.2.340

Windows 版の PHP の mysql_connect() で Buffer Overflow 攻撃が可能な問題が報告されています。 mysql_connect() の引数を外部から指定できるようにしていることはないと思いますので、あまり大きな問題にはならないと思います。[Full-disclosure] Windows…

PHP 4.4.2RC2 が公開されています。 http://qa.php.net/ Windows 版は以下で公開されています。 http://downloads.php.net/edink/PHP 4.4.1RC1 からの修正としては、セキュリティ対策とバグ修正です。 個人的に気になったものを挙げておきます。 HTTP レスポ…