yohgaki's blog

リンク: http://www.php-security.org/

"the Month of PHP Bugs"が始まりました。できるだけ多くの方が読めるように、Stefanさんの承諾を得て、日本語訳を公開します。「the Month of PHP Bugs」カテゴリがMoPBの翻訳ページになります。

http://blog.ohgaki.net/index.php/yohgaki?cat=41

まずはトップページから翻訳します。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。念の為に記載します。私はPHPプロジェクトのコミッタですがHardened-PHP ProjectおよびMonth of PHP Bugsには関係がありません。日本のPHPユーザが置き去りにされないよう日本語訳を公開しているだけです。

誤訳、間違い、タイポなどがあった場合、指摘していただけると助かります。

http://www.php-security.org/
----
■「the Month of PHP Bugs」について
「the Month of PHP Bugs」はPHPセキュリティを向上する為の試みです。我々は安全でないPHPアプリケーションの原因となるPHP言語の問題ではなく、PHPコアの脆弱性を取り扱います。2007年3月の間、Zendエンジン、PHPコアと拡張モジュールの既知のセキュリティ脆弱性と新しいセキュリティセキュリティ脆弱性を毎日公開します。PHPセキュリティレスポンスチームが採用している現在の脆弱性管理プロセスに必要な変更も指摘します。

（Hardened-PHP Project, 2007)

Bugs
# Bugリスト。未翻訳

■FAQ - よく聞かれる質問
以下は「the Month of PHP Bugs」（以下、MOPB）実行の動機と関連した事実についてよくある質問と回答、関係した製品（プログラム）と脆弱性を公開したチームなど、のリストです。我々に質問する前に、既にここで回答済みでないか確認してください。余計やメール、攻撃的またはナンセンスなメールには返信しません。

1. これはPHP、the PHP Group, PHP開発者やPHPユーザに対する攻撃、復讐、陰謀または何かの悪意を企みですか?

全く違います。「Hardened-PHPプロジェクト」は長年の間、非常に重大なセキュリティホールからあまり重要でないセキュリティホールまでPHP開発者と利用者に公開してきました。「Hardened-PHPプロジェクト」はPHPがリリースされる前にCVSスナップショット版の幾つかのバグを修正も行っています。（訳注：「Hardened-PHPプロジェクト」はリリース版のPHPの安全性向上が目標ですが、いくつかのセキュリティパッチは開発中のPHPソースコードにも適用されています）「Month of PHP Bugs」は我々が行ってきたセキュリティ監査の別のレポートだと理解してください。残念ながら他の方が書いたコード、他の方が行っているバグの処理プロセスのセキュリティ脆弱性を公表すると開発者は傷付けられ、攻撃されたと受け止められがちです。

皆さんが興味を持つなら、PHPソースコードが我々だけでなく多くの方によってチェックされるよう、PHPセキュリティ監査プロジェクトを行いたいです。

2. どのようなセキュリティ関連バグが対象ですか?

簡単なサービス不能（DoS）バグからリモートコード実行脆弱性までいろいろな種類のセキュリティ関連バグを公開します。

3．PHPアプリケーションも対象ですか?

いいえ。もし「month of PHP application bug」を希望されているならbugtraqやfull-disclosureメーリングリストを購読できます。幾つかのPHP関連ソフトウェアのバグも、ボーナスとして追加するかもしれませんがPHPアプリケーションのバグは追加しません。MOPBはPHPのソースディストリビューションのバグが対象です。

4．PHPセキュリティ対応チームは公開される問題を知っていますか?

すべてのバグではありませんがほとんどのバグは通知されています。ですからいつくかのバグは最新のPHPリリースで修正され、いくつか未修正です。事前通知を行ってもPHP開発者はCVSにセキュリティパッチをコミットし、脆弱性を修正したバージョンを何ヶ月間もリリースせずにユーザを危険にさらしている事が普通です。

5．MOPBに対して「だれか」がスポンサー、サポート、対価を払っていますか? MOPBは競合製品を使うようにFUD（訳注：Fear、Uncertanity、Doubtの頭文字）を広めているのですか?

MOPBは「Hardened-PHP Project」がコストを負担しています。それからホスティング会社はミラーサーバを提供しています。サポートしていただけるなら寄付によって我々をサポートできます。私たちの目的はPHPの利用を止めさせることではありません。ですからFUDを広めることを目的に寄付するのであればお金の無駄です。

訳注：Hardened-PHP ProjectはPayPalでの寄付を受け付けています。
http://www.hardened-php.net/donate.45.html

6．なぜ攻撃コードを公開するのですか?無責任ではありませんか?

攻撃コードは脆弱性が攻撃不可能だと信じている方（おそらく自分自身での再現実験の失敗が原因）のために公開しています。脆弱性を攻撃コードが無い事は時々PHPの脆弱性が正しく修正されなかったり、後になって全く同じバグが入ってしまう原因になっています。

7．なぜ情報漏えい脆弱性を公開するのですか?これらは全く危険ではありません。

間違っています。はじめに、いくつかの情報漏えい脆弱性、たとえばApacheメモリ情報の漏えいはSSLの秘密鍵へのアクセスを許してしまうかもしれません。もし攻撃者が秘密鍵を読み取ることができれば、攻撃者は中継攻撃（Man in the middle attack）を行えます。近年のASLR、NX、カナリア値（訳注：メモリ管理・アクセスの整合性維持する仕組み）による防御を置いておくとして、正確なメモリアドレスを知ることは攻撃を成功させるために重要です。

8．MOPBはMOAB、MOKB、MOBBと提携していますか?

いいえ。実際、MOPBはいくつかのポイントでこれらの試みと異なっています。はじめに、私たちは一つの製品の脆弱性のみ公開します。次に、1日に1の脆弱性を公開するよう制限していません。

MOPBのサイトデザインはMOABサイトに似ていると気付くかも知れません。これはMOABサイトがクリーンでシンプルであり彼らがデザインを流用する事を許可したからです。

■プレスとプレッシャ
MOPBに対するプレス、メディアの反応

The year 2007: A review through the crystal ball - Heise Security
http://www.heise-security.co.uk/articles/83058

Coming in March: Month of PHP bugs - ZDNet Blog
http://blogs.zdnet.com/security/?p=18

■放棄声明書
Use of this information constitutes acceptance for use in an AS IS condition. There are no warranties, implied or express, with regard to this information. In no event shall the author(s) be liable for any direct or indirect damages whatsoever result of or in connection with the use or spread of this information, which is distributed for educational and research purposes only. Any use of this information is at the user's own risk.