2006-03-01から1ヶ月間の記事一覧

「PostgreSQL で SJIS を使用した場合に SQL 文字列のエスケープが回避される可能性がある問題について」に追記

iakio さんから Patch を修正したとの連絡をいただきましたので、3月5日の日記に追記しました。もし、以前に Patch を適用していた場合は再度適用し直しておいた方が良いと思います。また、この Patch は PostgreSQL の CVS にコミットしていただいたそうで…

PostgreSQL で SJIS を使用した場合に SQL 文字列のエスケープが回避される可能性がある問題について

以前のメモにおいて、PHP から PostgreSQL への接続で文字コードに SJIS(Shift JIS) を使用すると以下の問題があることを説明したのですが、分かりにくい点なども多いように思いますので、まとめ直しました。何か間違いや勘違いしているような部分がありまし…

PEAR::Archive_Tar

最近の PEAR で報告されているセキュリティ問題の PEAR::Archive_Tar について追記しました。 実際に検証してみると、pear コマンドをスーパーユーザ権限で使用している場合、不正なパッケージのインストールを行うと非常に危険な感じがします。

[PHP][セキュリティ] PHP "mb_send_mail()" and IMAP Functions Security Bypass

mb_send_mail() 関数の第5引数(additional_parameter)と IMAP 関数において、safe_mode や open_basedir によるセキュリティ制限を回避されてしまう問題が報告されています。 PHP 4.4.2 と PHP 5.1.2 で確認されているそうです。 まだ修正は行われていません…

最近の PEAR で報告されているセキュリティ問題

最近、PEAR のパッケージでいくつかセキュリティ問題が報告されています。PEAR::Archive_Tar はまだ修正されていませんが、他のパッケージについては必要に応じてアップデートしておく方が良いと思います。リンクの追加、記述の修正を行いました(2006.03.02)…