IPAのドキュメントでは大規模開発にはJava, .NETをお勧めしているようですがTomcatのページにはこのような記載も。 Apache Tomcat 3.x and 4.x, we strongly encourage users to use the latest stable version of Apache Tomcat whenever po…

WindowsServer 2003にCanon iP7500が接続されLPDサーバのプリンタとして利用しています。LinuxからはiP7500用のSRPMをちょっと手直しして無理矢理ビルドしたドライバで普通に印刷できています。 # リンクしたがるライブラリが古すぎるので無理矢理新しいライブラリと # リンクさせてますが私の使用方法だと困った事はないです。 …

最近メイン環境をOSXに変えたのでMacをよく使っています。LinuxとOSXが半々くらいになっています。今までOSXのセキュリティアップデートを注意して見てこなかったのですが、このセキュリティアップデートを見ると「なんだかな...」と思ってしまいました。 bzip2 CVE-ID: CVE-2005-0758 gnuzip CVE-ID: CVE-2005…

PHP4のサポート終了がアナウンスされことに伴い、技術評論社の方からPHP4からPHP5への移行の記事を書く事になりました。毎週新しい記事が公開されます。下記のURLが最初の記事で8/2（予定）から順次続きが公開されます。 http://gihyo.jp/dev/feature/01/php-migration/0001?page=1 記事を書いてみて思った…

FirstにPHPのglobで任意コード実行の脆弱性、とあったのでCVSを見てみるとglob用のメモリ構造体を未初期化で使用しているコードが修正されていました。未初期化の構造体メモリを任意データで書き換える必要があるので、攻撃を行うには攻撃が可能となるメモリレイアウトを作る比較的特殊なコードが必要になると思われます。 任意コード実行の脆弱性として Remot…

PHPでGTKアプリが作れるPHP-GTKは以前からありましたが、PHPでQtアプリが作れるPHP-Qt 0.1がリリースされています。 The PHP-Qt team is pleased to announce the immediate release of PHP-Qt Version 0.1! It's been nearly a year sin…

現状でもセキュリティフィックスの状態があまり良いとはいえないのでPHP5が利用できる場合は積極的にPHP5を利用すべきですが、2007/12/31まで通常メンテナンス、以後2008/8/8までセキュリティフィックスには対応ということです。 まだの方は早くPHP5に移行しましょう。 間違っても5.1系に移行しないようにしましょう...　5.1系は今現在もメンテ…

PHPのマニュアルページで「Example 1428. A "Best Practice" query」と題されたSQL文用の文字列エスケープ処理のサンプルコードがあるのですが、 $query = sprintf("INSERT INTO products (`name`, `description`, `user_id`) VALUES ('%s', '%…

前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-ima…

CVE-2007-3294にtidy_parse_string()オーバーフローが登録されています。 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3294 に脆弱性情報のソースURLが記載されています。 http://www.milw0rm.com/exploits/4080 すぐに応用可能な実証コード付きです。…