LAMPセキュリティを強化する4つの方法 http://enterprisezine.jp/article/detail/311 書いてある情報は有用な事も記載されていますが、偏狭な視点からの記述により誤解を招く記事になっていると考えられます。著者はセキュリティの専門家ではないようなので仕方ないかも知れませんが、間違った認識は有害です。 # 原本は読んでいま…

IPAのドキュメントでは大規模開発にはJava, .NETをお勧めしているようですがTomcatのページにはこのような記載も。 Apache Tomcat 3.x and 4.x, we strongly encourage users to use the latest stable version of Apache Tomcat whenever po…

Stefanさんのブログに書いてあったので気がついたのですが http://cvs.php.net/viewvc.cgi/php-src/ext/session/session.c?r1=1.417.2.8.2.35&r2=1.417.2.8.2.36 に結構面白いコミットがされています。CVS版なので正式リリースになるかは不明です。成り行きはがどう…

http://blog.php-security.org/archives/84-PHP-5.2.3-released....html にも書いてあるのですが、PHP 5.2.3ではchunk_split()が直っているハズだったのですが直っていませんでした。 Fixed an integer overflow inside chunk_split() (b…

もう何年か前になりますがStefanさんがPHPプロジェクトへの貢献を始めたころ「整数オーバーフローの修正はセキュリティ脆弱性なのでそのことを明記すべき」と指摘した事がありました。信じがたいかもしれませんが「攻撃可能かどうか分からないし脆弱性でなく普通のバグ修正だ」と主張する開発者がいたためPHPのこの手のヒープオーバーフローセキュリティ修正は「fixed …

MOPBでPHPのセキュリティホールばかり書いているので「PHP本体のコード、最低だね」と思われているかも知れません。他の言語でも「最低」なコードは探せば いくつでも見つかると思います。今日、full-disclosureに投稿された記事です。 Description: The source of python contain a various modul…

MOPBでPHPの脆弱性ばかり書いているので書いておきます。 critical: Arbitary code execution and denial of service CVE-2007-0774 An unsafe memory copy in the URI handler for the native JK connector could resu…

MOPBでPHPのセキュリティ問題ばかり書いているので書いておきます。 Multiple cross-site request forgery (CSRF) vulnerabilities in TKS Banking Solutions ePortfolio 1.0 Java allow remote attackers to perform unspec…

MOPBでPHPの脆弱性ばかり書いているので他の脆弱性も書いておきます。 Miles Egan discovered that mod_python, when used in output filter mode, did not handle output larger than 16384 bytes, and would display freed …

MOPBでPHPの脆弱性ばかり書いているので書いておきます。 Multiple unspecified vulnerabilities in WebAPP before 0.9.9.6 have unknown impact and attack vectors. NOTE: This information is based upon a vague in…

MOPBでPHPの脆弱性ばかり書いているので他の脆弱性も書いておきます。 Miles Egan discovered that mod_python, when used in output filter mode, id not handle output larger than 16384 bytes, and would display freed m…

"the Month of PHP Bugs"が始まりました。できるだけ多くの方が読めるように、Stefanさんの承諾を得て、日本語訳を公開します。「the Month of PHP Bugs」カテゴリがMoPBの翻訳ページになります。 https://blog.ohgaki.net/tag/mopb まずはトップページから翻訳します。分かりやすいように意訳…