がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

素晴らしいパッチ公開

言語 セキュリティ PHP

PHP界では多分めっさ有名な、大垣 靖男氏のBlog ( http://blog.ohgaki.net/index.php/yohgaki/ ) からのお話。
http://blog.ohgaki.net/index.php/yohgaki/2006/11/07/php_5_1_xc_ua_ra_ra_sa_ya_oa_a_pa_a_a

PHP 5.1/4.4用のセキュリティパッチ

PHP 5.2.0がリリースされていますが少なくとも2つ重要なセキュリティフィックスがあります。5.1/4.4ユーザが5.2.0にアップグレードするには時間が必要と思うのでWikiどのパッチが必要か書いておきました。PHP4はこちらです。

PHP4.4 にはありませんがPHP5.1にはecalloc(メモリ確保関数)に整数オーバーフロー脆弱性があります。この脆弱性は随分前にPHP4で修正されたバグですがPHP5ブランチにマージされ忘れていた、という代物です。最も簡単に攻撃可能なケースはserializeされたPHP変数をフォームやURL に埋め込みそれをunserializeで処理しているケースです。

何はともあれチェックはしておきましょう。