|
ニュース検索
ピックアップ
今週のIT求人情報
|
脆弱性を修正、スクリプト言語『PHP』の最新版汎用スクリプト言語『PHP』のバージョン4およびバージョン5に、いくつもの脆弱性が見つかった。PHP 推進団体 PHP Group は、最新版『PHP 4.4.2』および『PHP 5.1.2』をリリースし、そちらにアップグレードするようユーザーに呼びかけている。
両最新版は、脆弱性を修正ずみだ。PHP 5.1.2 は、いくつか新機能も搭載している。 PHP 5.1.2 が修正した脆弱性の1つは、PHP のセッション拡張に存在するもので、任意の HTTP ヘッダ挿入が可能になり、クロスサイトスクリプティング (XSS) 攻撃を受けかねない。PHP ユーザー向けセキュリティ支援団体 Hardened-PHP Project は、「セキュリティ情報 01/2006」で、同脆弱性の深刻度を「重大」と分類している。 PHP 5.1.2 が修正した脆弱性の2つ目の脆弱性は、PHP の mysqli 拡張に存在し、意図的な例外処理状況を引き起こすことで、不正な遠隔コード実行が行なわれかねない。ただし、この脆弱性の深刻度について、Hardened-PHP Project の「セキュリティ情報 01/2006」は「低度」としている。 PHP Group の開発チームによると、PHP 5.1.2 は、85件のバグ修正を含み、さまざまな「クラッシュ」「リーク」「メモリ破損」などの問題を解消した。そして、PHP 4.4.2 は、30件以上のバグ修正を含み、XSS 攻撃の実行を許しかねない脆弱性も修正ずみだ。 PHP 4.4.2 について、Hardened-PHP Project の Stefan Esser 氏は、PHP 5.1.2 と同じ PHP ext/session HTTP Response Splitting に対する防御機能も内蔵していると述べている。 そして、次のようにも語った。「PHP アプリケーションにあるこの種のセキュリティバグは、今後のバージョンにおいては一切攻撃不可能になるだろう」 Hardened-PHP Project は昨年10月、バージョン4系列とバージョン5系列の PHP に関して、「16/2005」から「20/2005」まで5件ものセキュリティ情報を公開した。その際、PHP Group は、バージョン4については対応版の『PHP 4.4.1』を同月31日にリリースしたが、バージョン5の対応版『PHP 5.0.1』のリリースは11月24日と3週間あまり後だった。しかし、今回は、PHP 5.1.2 が1月12日、PHP 4.4.2 は1月13日と、ほぼ同時にリリースしている。 関連テーマ
新着ニュース・コラム ホワイトペーパー
|
注目のトピックス 話題の記事
企業の約4割がいまでも IE 6 以前のブラウザを利用 ― Web 広告研究会調査
SNS「非モテ+」、バレンタイン関連ワード投稿を禁止に
Android アプリを美しくみせる UI デザイン10のヒント
Android 版 Chrome ベータ1登場、ただし Android 4.0に限る
イギリス人は年間11キロのチョコを食べている―トリップアドバイザー「世界のチョコレート消費量」を公開
⇒一覧を見る
アクセスランキング
最新コラム一覧
|
||||||||||||||||||||