PHPではリモートファイルインクルード脆弱性でよく知られている問題ですがなかなか無くならない問題です。探してみるとPerlアプリにも同類の脆弱性が結構見つかるかも知れません。（Perlの場合はローカルのファイルしかインクルードできませんが） 2007/6/19のfull-disclosureに「local File Include Vulnerabiliti…

6/12にApache MyFaces TomahawkにXSS脆弱性が修正されています。 Java Server Faces, JSF, is "a framework used to create server side GUI Web applications. It is comparable to the Java Struts framework…

Stefanさんのブログに書いてあったので気がついたのですが http://cvs.php.net/viewvc.cgi/php-src/ext/session/session.c?r1=1.417.2.8.2.35&r2=1.417.2.8.2.36 に結構面白いコミットがされています。CVS版なので正式リリースになるかは不明です。成り行きはがどう…

個人的には影響ないですがいろいろなアプリケーションで使われているPHPMailerと言うクラスにコマンドインジェクションの脆弱性があったようです。リンク先を見ればescapeshellarg()かescapeshellcmd()でエスケープすべき個所がエスケープされていない事が分かります。 どの位危険か?と言うと簡単にサーバを乗っ取られる（不正なプロセスを実…

http://blog.php-security.org/archives/84-PHP-5.2.3-released....html にも書いてあるのですが、PHP 5.2.3ではchunk_split()が直っているハズだったのですが直っていませんでした。 Fixed an integer overflow inside chunk_split() (b…

日本語環境でMySQLを利用している方には、リリースノートに記載されているmysql_set_charset()の追加に重要な意味がある方も多いと思います。 Added mysql_set_charset() to allow runtime altering of connection encoding. PHP4にはまだ追加されていませんがかなり重要なセ…

明日開催されるPostgreSQL2007は会場費等の為に2000円でローソンチケットでチケットを販売していました。ローソンチケット分は完売で現在購入できないそうです。しかし、当日券を会場にて販売（当日券は3000円だそうです）するそうです。もしチケットを入手できなかった方は現金で購入できるそうです。領収書も発行できるので仕事の都合がつく方は是非お越しくださ…

最近忙しすぎてブログの更新が全くできない状態がつづいていますが、PostgreSQLカンファレンス2007が2007/6/5(火)に秋葉原UDXにて開催されます。私もRoom C（定員60名： 16:00～16:55）で講師を務めさせていただきます。私がメールを読んでいなかった為、私の資料は印刷物には入っていません... この為当日自分で持って行くことになっ…

SPAMはお金になる、ということでCAPTCHAを解読して売っているそうです。 1000のCAPTCHAを解読して7～15＄だそうです。一時間に数百くらいしか解読できないと思われるので、日本なら普通のバイトの方がよっぽど儲かります。しかし途上国では特別なスキルなしに収入になるのでこのような低報酬でも十分です。 CAPTCHAも使い物にならなくなるとSPAM対…

VMWare上にUbuntu 7.0をインストール（正確には6.xから7.04にアップグレード）してみました。6.xのときからvmwareのマウスドライバがインストールされないため、ホスト・ゲストOS上でマウスカーソールが移動できませんでした。 あまり気にしていなかったのですがCentOS5をゲストOSとしてインストールしても同じようにマウスポインタが移動で…