- 締切済み
PHPのセキュリティーホールについて
プログラムについて素人のため、下記の内容が、よく理解できません。 対策としてはパッチを適用とありますが、具体的にどのようにするのでしょうか。 素人でもできるものなのでしょうか。やはり、プロの方にお願いしなくてはいけないのでしょうか。 的外れな質問かもしれませんが、よろしくお願いします。m(_ _)m ---------------------------------------------------------------- Hardened-PHP Projectは10月31日(現地時間),オープンソースWebアプリ ケーション開発言語PHPの深刻なセキュリティ・ホールを警告した。リモート からPHPスクリプトを実行される「今まで見つかった中でも最悪のセキュリ ティ・ホール。全てのPHPユーザは今すぐ対処を行う必要がある」(日本PHP ユーザー会 大垣靖男氏)。PHP4の4.4.0以前のバージョン,PHP5の5.0.5以 前のバージョンが影響を受ける。対策はパッチを適用することなど。 ---------------------------------------------------------------
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- snow_fish_ff
- ベストアンサー率35% (86/244)
- 0KG00
- ベストアンサー率36% (334/913)
関連するQ&A
- PHP4.4.0以下に起こるセキュリティホールについて
お世話になります。 現在某レンタルサーバでPHPを使用しています。 先月末、PHPに最悪のセキュリティホールが発見されました。 http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/ この件に関して、早急にバージョンを上げて欲しいということで レンタルサーバ業者に連絡を入れたのですが、 1.PHP4.4.1は仕様の変更がかなりあっているので、共有サーバという性質上、バージョンアップは難しい 2.セキュリティホールではあるが、サーバ自体に影響のある類のものでは無い 3.PHPコードのサニタイジングで対応可能 だという理由で今のところバージョンアップの予定は無いという回答でした。 そこで、とにかくも「3.PHPコードのサニタイジングで対応可能。」だという回答は貰えましたので、 早速今回のセキュリティホールに対応しようと行動を開始したのですが、 どこから手をつけて良いのか判らない状態です。 私なりに今回のセキュリティホールがどんなものか、理解しようと思い、以下のサイトを参照してみたのですが http://www.hardened-php.net/index.76.html ようはinputタグのtypeがfileであり、かつname="GLOBALS"の時、 PHPの大域変数(global変数という呼び方が一般的ですが、紛らわしいのでここでは大域変数と呼びます)が アップロードしたファイル名で上書きされる、といったところでしょうか?(自信なし) だとするならばサニタイジングするべきは、局所変数でない箇所すべて、ということになりますが この認識で合っているのでしょうか? 前置きが長くなりましたが、今回教えて欲しい点は サニタイジングすべきPHPの変数は、 ・大域変数全てなのか? ・スーパーグローバル変数全てなのか? ・$GLOBALS全てなのか? です。
- ベストアンサー
- PHP
- リナックスのセキュリティホール
いつもお世話になっております 今回HDEL inux Controller2.5(ISP)(ウェブベースの管理ツール)とRedHat7.3でサーバーの運用を始めたのですが、運用を開始してはや2ヶ月で2度もハッキングされてしまいました。 (内容としては、基本コマンドが使えなくなったり/パーテーショが使用率100%になってしまったり) 最低限のセキュリティ対策は施しておいたのですが、HDEの関係でApacheやPHP、SSLなどのバージョンアップはRedHatのエラータ待ちの状態でした。 上記の組み合わせで何か良い対策若しくは、既知のセキュリティホール及びその対策等ご教授いただければと思います。 利用目的としては、仲間数人で、レンタルサーバーを借りるよりも安く済ませようという目的です。
- ベストアンサー
- その他(OS)
- ウインドウズアップデートのアイコンが毎日出るのは、MDACが古いからでしょうか?
ウインドウズアップデートのアイコンが毎日出るのは、MDACが古いからでしょうか? (以下は、マイクロソフトのアナウンスです) マイクロソフトは1月23日,「Windows Update」サイトにアクセスすると,適用したはずのパッチが「重要な更新」として再度表示される場合があることを明らかにし た。再度表示されるパッチは,1月14日に公開された 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」。パッチの適用対象 であるMicrosoft Data Access Components(MDAC)のバージョンが古い場合にこのト ラブルが発生するという。MDACをバージョンアップしてからパッチを適用すれば,このトラブルを解消できる。 このセキュリティ・ホールを解消するためのパッチは,MDAC 2.5 Service Pack 2 (SP2)/2.5 SP3/2.6 SP2/2.7/2.7 SP1/2.8に適用できる。現在インストールさ れているMDACのバージョンがこれらよりも古い場合には適用できない。古いMDACを 使っている場合には,自分ではパッチを適用したつもりでも,実際には適用されてい ないことになる。このため,このユーザーがWindows Updateにアクセスすれば,この パッチは「重要な更新」として何度でも表示される。 パッチが適用できたかどうかは,Windows Updateにアクセスすると表示される「履 歴を表示」で参照できる。レジストリ情報でも確認できる。具体的には, 「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q832483」のレジス トリ・キーが作成されていれば,きちんと適用されている。Windows Server 2003 64 Bit Edition の場合だけ,「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix\KB832483」が作成される。
- ベストアンサー
- Windows NT・2000
- 再セットアップ後のセキュリティ対応について
パソコン不具合のため、再セットアップしました。 一通り終えたところでNTT附属のセキュリティ対策ツール(以前使用していたウィルスバスターと同じです)でウィルス・スパイウェア・セキュリティーホール検索・診断したところ、前2つはパスしたものの、100以上のセキュリティーホールが指摘されました。早速その診断画面にある「Microsoft Update を実行」を実施したところ、「Service Pack 3」をダウンロードするように表示されました(他の選択肢は表示されません)。 巷で不評の「Service Pack 3」を導入するしかないということでしょうか?これを使わないセキュリティーホール対策はありませんか? パソコン素人がこの土・日をつぶして、マニュアル片手にデータをバックアップ・復元し、各種設定し…もう限界です(泣)。「Service Pack 3」で再々セットアップ!なんて考えられません。 どうか宜しくご指導ください。 なお、パソコンはNEC VL570/A、システムはWindowsXP HomeEdition (Version 2002) ServicePack2 です。
- ベストアンサー
- Windows XP
- 12/15に見つかったphpのセキュリティーホールについて
phpのセキュリティーホールが見つかったようなので、バージョンアップしようと思うのですが、開発の途中でバージョンを変えても大丈夫なものなのでしょうか。 また、バージョンを変更する際に気をつけなければならない天などはありますでしょうか。 今使っているバージョンはphp4.3.9です。 これをphp4.3.10に変えようと思っています。 <<参考>> http://www.php.net/
- ベストアンサー
- PHP
- PHPメールフォームの設定
コアサーバーに、PHPのメールフォームのインストールをしようとしていますが、 うまくいきません。 どなたか、ご教授頂ければ幸いです。 インストールしようとした、PHPメールフォームは、下記の2つです。 1.ES-FORM 2.Mailform+ Version1.24 (携帯対応埋め込み型PHPメールフォームスクリプト) どちらもサーバーに設置して、アクセスなどをしますが、 フォームがキチンを表示されません。 どちらも、.htaccessを設置したりして、試行錯誤していますが、うまく動きません。 ES-FORMは、フォームがうまく表示できないので、 サーバーの説明によるエラー対策を http://www.coreserver.jp/help/index.php/phperror/ を試みましたが、うまくいきません。 Mailform+ Version1.24 は、パスの設定がうまくいかないようです。 Warning: include() [function.include]: Unable to access /virtual/ken/public_html/■■■■.■■■■/mail/mfp/config.inc.php in /virtual/■■■■/public_html/■■■■/mail/index.php on line 5 などのエラーがでます。 いま、完全にはまってしまい、暗中模索になってしまいました。 恐縮ですが、素人ゆえ、わかりやすく解説、設定方法など ご教授頂ければ幸いです。 以上、よろしくお願いいたします。
- 締切済み
- PHP
- PHP初心者です。pearの具体的な使用方法
本当に素人なので変な質問かもしれません。 現在ロリポップでpearをインストールしたのですが、具体的なpearの使用方法というのは リモートサーバのインストールした場所でpearのフォルダの中からPHPファイルをみてコピペでコードを作成していくのでしょうか? ただ今の時点でインストールしたpearのphpファイルどれをブラウザで開いてもエラーがでて、それぞれのphpファイルの機能がどういうものかもわかりません。この時点でpearの使用方法が間違っているのかもしれませんが、ネットで調べてもインストールする手順ぐらいしか見ることができずに困っています。 pearの活用例とpearのファイルがどれもエラーである理由を教えてください。 ちなみにエラーは Fatal error: No PEAR.php in supplied PEAR directory: @pear_dir@ in /home/users/0/xxxxx/web/pear/TMP1q84zbu.php on line 24 こんな感じです。
- 締切済み
- PHP
- KB5004476について
Win10 21H1 PCでKB5004476がオプションのWindowsUpdate更新プログラムとして更新とセキュリティ→WindowsUpdateの画面に表示されております。XBOXのゲーム関連の修正パッチだそうで、私はゲームしないのでインストールする必要性がありませんが、Windows10 64bit HOME 21H1バージョンなので、最大35日間はインストールを延長できます。35日目になればまた35日延長することが可能ならば、7月の第二週目のMSのWindows10の定例更新日に新しい更新プログラムが適用され、このパッチはインストールしなくて良い、もしくは表示されなくなるかもしれません。ProではなくHOMEユーザーなのでKB5004476の適用を延々と延ばしておけば宜しいか?
- ベストアンサー
- Windows 10
- cronでPHP実行
お世話になります。 OSはクライアントの為、恐縮ながら何を使用しているか不明となっております。 PHPバージョンは5.1.6です。 cronを使用して、毎日特定の時間に、メールを配信するPHPスクリプトを実行しようと試みているのですが、エラーメールが返ってきてしまいます。 因みに、URLを直接指定して実行した場合は正常にメールが配信されます。 設定方法は、crontab -e で 0 12 * * * /usr/lib/php -q /home/hoge/public_html/mail.php と記述しております。 返ってくるエラーメールの内容は、以下の通りです。 Content-Type: text/plain; charset=UTF-8 Auto-Submitted: auto-generated X-Cron-Env: <SHELL=/bin/sh> X-Cron-Env: <HOME=/home/hoge> X-Cron-Env: <PATH=/usr/bin:/bin> X-Cron-Env: <LOGNAME=hoge> X-Cron-Env: <USER=hoge> Message-Id: <xxxxxx@xxxxxxxxxx> Date: Sun, 28 Sep 2008 12:00:01 +0900 (JST) /bin/sh: /home/hoge/public_html/mail.php: Permission denied 以上、対策方法についてご存知の方がおられましたら、ご教授よろしくお願い致します。
- ベストアンサー
- Linux系OS
- ウィルス対策行き詰まり・・。教えて下さい。
win2000パーソナルを使っています。 無知な為、マイクロソフトのHPで紹介されていたソフトを(対策用と思い) ダウンロードし(正確には重くて時間がかかり完了してません)、必要なかったものでは?と思っていて、情報を頂けたらと思います、よろしくお願いします。 IEのバージョンが(IE5.01 SP1, IE5.5 SP1)では感染すると聞きました。 自分のIEのバージョンは(5.50.4134.0600)。これは感染対照に当てはまってしまうのでしょうか?どれにあたるか疑問に思っています。 必要のない物をダウンロードしてしまった(と思う)のは、IIS(SP2)です。途中で回線も切れ?、画面を見ると失敗したようで、これってPC内に残って(ますか?)いる場合消すべきでは・・?と思ってます。 これに対してはどうするべきですか?調べ方とか・・? 後の対応が必要ではないか?と かなり気にしています。 また、なぜ、ダウンロードしたかですが、IISというものを知らず、文章を読み これを入れると感染しないのだ(対策)と間違った理解をしてしまったからです。 その後、説明を何度か読み、正しくは セキュリティーホールがあるIISを 使っていると(修正パッチをあてていないIISを利用している)と感染するから、 最新の修正パッチをあてる事で感染の危険がなくなるという事だと悟りました。 その修正パッチが「IIS SP2」なるものなのですよね? ↑この解釈であっておりますでしょうか?。 IISは自分でインストールしない限りPCには存在しないですか?
- ベストアンサー
- ネットワーク
お礼
ご回答ありがとうございます。早速、試してみます。