続:PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下)
2005年11月03日-
スポンサード リンク
yohgaki's blog - PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下)
問題の部分ですが、PEARがグローバル変数に定義されている関数をcall_user_funcによって呼び出してしまうという部分です。
外部からの関数注入などの恐れはないようですが、オープンソースのプログラムであった場合、ソースが公開されているため、予期しない部分で意図しない関数が呼ばれるという恐れがありますね。
まず先のブログエントリで私が誤解していたため解りづらい状態になっていました。register_globals=offであればアドバイザリ(http://www.hardened-php.net/advisory_202005.79.html)の影響は受けません。この場で深くお詫びいたします。register_globals=offであれば問題ないようです。といってもまだregister_globals=onのレンタルサーバーなどは多そう。
問題の部分ですが、PEARがグローバル変数に定義されている関数をcall_user_funcによって呼び出してしまうという部分です。
外部からの関数注入などの恐れはないようですが、オープンソースのプログラムであった場合、ソースが公開されているため、予期しない部分で意図しない関数が呼ばれるという恐れがありますね。
スポンサード リンク
Advertisements
SITE PROFILE
最新のブログ記事(新着順)
- 小説表紙などに使えそうな商用可なフォント「になロマン」
- 筆で書いたようなカナ書体「筆竹仮名B」
- 無料・商用利用可な丸文字ピクセルフォント「マルミーニャM」
- スペースコブラ風フォント
- Next.jsのVercelから商用利用可能なフリー汎用フォント「Geist Font 」
- 無料で使えるいい感じの日本語フォント「しっぽり太ゴシック」
- CSSのみで実装された500種類のローディングアニメーション「CSS Loaders」
- 画像ホバーで様々なエフェクトをかけられる「Izmir」
- CSSのbox-shadowをGUIで生成できる「CSS Box Shadows Generator」
- 好きな画像や文字を埋め込んだQRコードをリアルタイムで作れるWEBツール
- 過去のエントリ