|
|
| Webテクノロジー | 2006年1月16日 10:00 |
|
脆弱性を修正、スクリプト言語『PHP』の最新版 著者: Sean Michael Kerner オリジナル版を読む ▼2006年1月16日 10:00 付の記事 ■海外internet.com発の記事 汎用スクリプト言語『PHP』のバージョン4およびバージョン5に、いくつもの脆弱性が見つかった。PHP 推進団体 PHP Group は、最新版『PHP 4.4.2』および『PHP 5.1.2』をリリースし、そちらにアップグレードするようユーザーに呼びかけている。 両最新版は、脆弱性を修正ずみだ。PHP 5.1.2 は、いくつか新機能も搭載している。 PHP 5.1.2 が修正した脆弱性の1つは、PHP のセッション拡張に存在するもので、任意の HTTP ヘッダ挿入が可能になり、クロスサイトスクリプティング (XSS) 攻撃を受けかねない。PHP ユーザー向けセキュリティ支援団体 Hardened-PHP Project は、「セキュリティ情報 01/2006」で、同脆弱性の深刻度を「重大」と分類している。 PHP 5.1.2 が修正した脆弱性の2つ目の脆弱性は、PHP の mysqli 拡張に存在し、意図的な例外処理状況を引き起こすことで、不正な遠隔コード実行が行なわれかねない。ただし、この脆弱性の深刻度について、Hardened-PHP Project の「セキュリティ情報 01/2006」は「低度」としている。 PHP Group の開発チームによると、PHP 5.1.2 は、85件のバグ修正を含み、さまざまな「クラッシュ」「リーク」「メモリ破損」などの問題を解消した。そして、PHP 4.4.2 は、30件以上のバグ修正を含み、XSS 攻撃の実行を許しかねない脆弱性も修正ずみだ。 PHP 4.4.2 について、Hardened-PHP Project の Stefan Esser 氏は、PHP 5.1.2 と同じ PHP ext/session HTTP Response Splitting に対する防御機能も内蔵していると述べている。 そして、次のようにも語った。「PHP アプリケーションにあるこの種のセキュリティバグは、今後のバージョンにおいては一切攻撃不可能になるだろう」 Hardened-PHP Project は昨年10月、バージョン4系列とバージョン5系列の PHP に関して、「16/2005」から「20/2005」まで5件ものセキュリティ情報を公開した。その際、PHP Group は、バージョン4については対応版の『PHP 4.4.1』を同月31日にリリースしたが、バージョン5の対応版『PHP 5.0.1』のリリースは11月24日と3週間あまり後だった。しかし、今回は、PHP 5.1.2 が1月12日、PHP 4.4.2 は1月13日と、ほぼ同時にリリースしている。 |
| トップページ | 画面トップ |
|
||
|
||
|
