PHPの深刻な脆弱性、IPAが「ネットワーク貫通型攻撃」の悪用に注意喚起
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のシステムトラブル関連トピックを取り上げる。情報処理推進機構の注意喚起と、ユニテックフーズの不正アクセス被害、新日本製薬のランサムウエア被害である。 国内外で悪用を確認された深刻な脆弱性 情報処理推進機構(IPA)は2024年7月5日、PHPの脆弱性を悪用する活動が国内で確認されたとしてPHPの利用者に注意を呼び掛けた。 脆弱性は6月7日に情報公開され、識別子として「CVE-2024-4577」が採番された。Windows上で脆弱性が存在するバージョンのPHPをCGIモードで稼働させていると、外部からシステムが乗っ取られたり、機密情報が流出したりする恐れがある。 IPAによれば、国内の複数組織が当該脆弱性を悪用した攻撃を受け、Webサービス上にバックドアが仕掛けら
え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ
え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ:“典型的やられサイト”で学ぶセキュリティのワナ(1/3 ページ) ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本記事に登場する企業・団体及び人物は全て架空の存在である。 荒井考人(あらいこうと):入社したばかりの新人
PHP: rfc:release_cycle_update
The current release cycle has been introduced in 2010 by release process RFC. This has been working mostly well but there have been some minor issues. The length of cycle is often mentioned as being too short. It is also quite risky to introduce more complex fixes later in the active support cycle as the security support does not allow fixing potential regressions. In addition, it is not exactly c
【さくらのレンタルサーバ】PHP提供ポリシー変更のお知らせ | さくらインターネット
お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 さくらのレンタルサーバにおけるPHP提供ポリシーを、2023年9月14日(木)より変更いたします。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 PHP提供ポリシーの変更内容 以下の2点について提供ポリシーを変更いたします。 1.PHPのセキュリティサポート終了後について 変更前 該当バージョンの提供を終了 変更後 該当バージョンの提供を継続 ※提供を終了する例外対応がございますので、ご注意ください。 2.マイナーバージョンアップ時について 変更前 通知から一定期間後に自動でバージョンアップ 変更後 お客さま自身でバージョンアップ これまでは自動でバージョンアップを
PHP標準のアプリケーションサーバー「PHP-FPM」から「NGINX Unit」に乗り換えるだけで約8倍も応答速度が改善したというテスト結果
NGINX Unitはさまざまな言語で動作可能なオープンソースの動的アプリケーションサーバーです。PHPのアプリケーションを動作させる際にNGINX Unitを使うと、PHP-FPMを使う場合に比べて約8倍も応答速度が改善するというテスト結果をエンジニアのstraykerwlさんが報告しています。 Comparing PHP-FPM, NGINX Unit, and Laravel Octane / Habr https://habr.com/en/articles/646397/ サービスメッシュ基盤構築~NGINX Unit - NGINX https://www.nginx.co.jp/products/nginx-unit/ GitHub - nginx/unit: NGINX Unit https://github.com/nginx/unit NGINX UnitではPHPのほ
【PHP】文字列検索には str_contains() を使え - RAKUS Developers Blog | ラクス エンジニアブログ
PHP で「文字列に特定のキーワードが含まれているか」や「文字列中に特定の文字列を含むか」を確認したい場合、どのようなコードを書くだろうか? もし、あなたが strpos()やstrstr()を使う方法を思いついたのなら、これだけは覚えて帰ってほしい。 文字列検索には str_contains() を使え。 結論:文字列検索には str_contains() を使う サンプル 昔はstrpos()やstrstr()などを使っていた strpos() や strstr() ではダメなのか? strpos() を使うべきでない理由 strstr() を使うべきでない理由 preg_match()を使うべきでない理由 「いや、キーワードが先頭にあるかを知りたいんだ」という人は 「日本語でも使えるの?」との疑問について もっと詳しく? これでわかっただろう 結論:文字列検索には str_conta
今週の PHP 2023-02-11 〜 2023-02-17
PHP のメーリングリストから、気になった情報をピックアップします。 Internal [VOTE] include cleanup - Externals PHP: rfc:include_cleanup 否決されました。 話が、include の改善という話からそれてしまって、正しさの押しつけみたいになってしまいました。 PHP が多くの人に使われているため、合議制で決めていこうというプロセス自体は、専横的に素早く改善を求める考えとは相性が悪いです。 コミュニティの難しさを感じる一連のやりとりです。 RFC プロセスとしては否決されたのですが、改善を行おうとする新しい貢献者をどのようにして受け入れるかみたいなところで、まだ話し合いは続くように見えます。 PHP: rfc:saner-array-sum-product array_sum, array_product において、厳密な型
[翻訳記事] PHP のリリースマネージャーについて
はじめに この記事は PHP Advent Calendar 2022 、最終日の記事です。 このエントリは、PHP 8.2 のリリースマネージャーを務める著者 Sergey Panteleev の許可を得て 原文 を翻訳し、最後に若干の解説を加えたものです。 [翻訳] The PHP 8.2 Release Managers PHP 8.2 が2022年12月8日 にリリース予定です。このバージョンの新機能については、既に多くの記事が書かれています。よってこのエントリでは、PHP のリリースに携わる人達、つまりリリースマネージャー について書いてみることにします。 誰がリリースマネージャーになったの? 私 (Sergey Panteleev)は、今年の5月に PHP のリリースマネージャーチームに参加しました。しかし、私の知り合いの開発者の多くは、PHP のコミュニティにリリースマネージ
![[翻訳記事] PHP のリリースマネージャーについて](https://cdn-ak-scissors.b.st-hatena.com/image/square/cfceb59a4ee513cc446a2876af16ce1ea387fc89/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--afnMuJj1--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E7%2525BF%2525BB%2525E8%2525A8%2525B3%2525E8%2525A8%252598%2525E4%2525BA%25258B%25255D%252520PHP%252520%2525E3%252581%2525AE%2525E3%252583%2525AA%2525E3%252583%2525AA%2525E3%252583%2525BC%2525E3%252582%2525B9%2525E3%252583%25259E%2525E3%252583%25258D%2525E3%252583%2525BC%2525E3%252582%2525B8%2525E3%252583%2525A3%2525E3%252583%2525BC%2525E3%252581%2525AB%2525E3%252581%2525A4%2525E3%252581%252584%2525E3%252581%2525A6%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Amumumu%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyL2UwNDZmMTVjNzEuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
【PHP8.2】PHP8.2がリリースされたので新機能全部やる - Qiita
PHP8.3 / PHP8.2 / PHP8.1 / PHP8.0 2022/12/08にPHP8.2.0がリリースされました。 大きな新機能については、PHP8.0以降公開されるようになったランディングページで見ることができます。 ここでは、概要だけではなくUPGRADINGに載っている変更点を全部見て回ることにします。 Backward Incompatible Changes 下位互換性のない変更点。 Date DateTime::createFromImmutable() now has a tentative return type of static DateTime::createFromImmutable()の返り値の型がstatic型になりました。 以前はDateTime型でした。 これはphpstanのバグへの対応です。 class CustomDateTimeImmu
【PHP8.2】PHPの乱数がすごい改善される - Qiita
class XorShift128Plus { /* constants */ protected const MASK_S5 = 0x07ffffffffffffff; protected const MASK_S18 = 0x00003fffffffffff; protected const MASK_S27 = 0x0000001fffffffff; protected const MASK_S30 = 0x00000003ffffffff; protected const MASK_S31 = 0x00000001ffffffff; protected const MASK_LO = 0x00000000ffffffff; protected const ADD_HI = 0x9e3779b9; protected const ADD_LO = 0x7f4a7c15; protec
【PHP8.2】PHP8.2の新機能 - Qiita
PHP8.3 / PHP8.2 / PHP8.1 / PHP8.0 2022/07/19、PHP8.2がフィーチャーフリーズしました。 言語機能に関わるような機能の追加・変更が締め切られたということです。 今後はデバッグを繰り返しながら完成度を高めていき、2022/11/24にPHP8.2.0がリリースされる予定です。 というわけでPHP8.2で実装されるRFCを見てみましょう。 RFC Disjunctive Normal Form Types 賛成25、反対1で受理。 選言標準形です。 UNION型と交差型を同時に使えるようになります。 思う存分型パズルで遊べますね。 // A型、もしくはB型かつC型、もしくはint function hoge( A | (B & C) | int $param){}
PHP重鎮の廣川類氏によるコラム「PHPの最新状況:PHP 8.1の開発がいよいよ最終段階に(第19回)」 - KUSANAGI Tech Column
PHP 8.1の開発が順調に進行中で、正式版は11月25日にリリース予定です。今回はその主な新機能を紹介します。まず、「交差型(Intersection)」の導入で、関数やメソッドの引数、戻り値に複数の型に共通する要素を指定できるようになります。次に、「never型」の導入で、処理が戻らない関数の明示的な指定が可能になります。さらに、「readonly型」の導入により、初期化後に変更ができない変数を作成できます。また、「...」による配列展開で、連想配列の要素を簡単に展開できるようになりました。最後に、「...」構文によるクロージャで、より簡便にクロージャを定義できます。次回は、更なる新機能と下位互換性がない変更点を紹介予定です。 夏もそろそろ終わる頃となりましたが,次期マイナーバージョンアップとなるPHPバージョン8.1の開発は計画通り順調に進んでおり,7月20日にフィーチャーフリーズさ
【PHP8.0】PHP8.0の新機能 - Qiita
PHP8.2 / PHP8.1 / PHP8.0 / PHP7.4 2020/11/26に リリースされました 。 2020/08/04にPHP8.0がフィーチャーフリーズしました。 言語機能に関わるような機能の追加・変更が締め切られたということです。 今後はデバッグを繰り返しながら完成度を高めていき、2020/11/26にPHP8.0がリリースされる予定です。 というわけでPHP8.0で対応することが決まったRFCを見てみましょう。 RFC JIT 賛成50反対2で受理。 PHP8の目玉、JITです。 PHPをネイティブコードにコンパイルし、さらにコンパイルした結果を次のリクエストに使い回すことができます。 速度はOpcacheがオンの状態から平均的に1.3-1.5倍程度、さらにCPUバウンドな処理なら3倍以上という劇的な高速化が見込めます。 Opcache無しからだと、1分かかっていた
PHP8.0.0α1がリリースされたのでさっそくJITの威力を体感する(した) - Qiita
本当かよ????????? まずPHP7.4.7からPHP8にアップデートするだけで処理時間が1割削減されています。 ただでさえ新機能てんこ盛りだってのに、そのうえ速度も上がるとかどうなってるんだPHP8。 次いでopcacheを有効にすると処理時間が半分になります。 最後にJITを有効にしたら、処理時間がopcache有効状態の30%になりました。 30%縮まりました、ではありません。 なんだこれ。 ということで、JITを有効にするだけで、処理時間がPHP8デフォルト設定の13%になりました。 どういうことかというと、元々1分かかっていた処理が8秒で終わるようになります。 足枷を外したとかいうレベルじゃねーぞ。 これ本当に計算してるのか? 計算結果が固定値だから結果だけどこかに保存してるとかじゃないよな? しかもこれ、opcacheやJITの設定はほぼ初期値で、とりあえず有効にしただけと
PHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話
最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。 徳丸浩のウェブセキュリティ講座 そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082 を取り上げようと思ったんですよ。表向きXSSで出ているけど、金床さんのツッコミにもあるように、実はHTTP Request Smuggling(HRS)だというやつです。でね、下準備であらためて調べていると、なんかよく分からない挙動がワラワラと出てくる。なんじゃ、こりゃ。CVE-2018-17082 全然分からない。僕は気分で CVE-2018-17082 を扱っている… で、雑に整理すると、以下のような感じなんです。 古い環境だとCVE-2018-17082は発現しない(2015年以前) 少し古い環境だとCVE-2018-17082は発現する 新しい環境だとCVE-2018
RHEL/CentOS 6のPHP5.3.3 は安全か? - Qiita
RHEL6/CentOS6 のサポート期限は、2020年11月30日までです。早めに OS リプレイスの計画を立てましょう この記事は RHEL/CentOS 7のPHP5.4.16 は安全か? の RHEL/CentOS 6 版です。 よく、 CentOS6.x にバンドルされている PHP5.3.3 を使用していると、 「まだ PHP5.3 なんて使ってるの?? セキュリティに対する意識あんの??」 って言われます。 確かに、PHP5.3.3 は2010年にリリースされたとても古いバージョンですし、5.3 系は2014年8月14日にリリースされた 5.3.29を最後に公式のサポートを終了しています。 でも、 CentOS6.x の PHP は、リリース当初の2011年から、 5.3.3 のままです。2015年12月現在でも、 5.3.3 のままです。これには理由があります。 CentO
PHP extensionのmake testに関するTIPS - Qiita
PHP extensionを書いているとmake testすることが多いと思うんですが、デフォルトの挙動のままだとテスト完了時に下記のように「PHP QAチームにレポートするかい?」と言われて困惑したりします。 $ make test (略) This report can be automatically sent to the PHP QA team at http://qa.php.net/reports and http://news.php.net/php.qa.reports This gives us a better understanding of PHP's behavior. If you don't want to send the report immediately you can choose option "s" to save it. You can th
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
現在のrubyやphpのようにgolangや rustはwebで普及するでしょうか?
お前はPHPの標準関数の数を知っているか #phperteanight |にゃんだーすわん|pixivFANBOX
Compiling .src.rpm php 5.3.10 under apache 2.4.1 (Page 1) — User support — Remi's RPM repository - Forum