PHP 5.3.9 の脆弱性に関する注意喚起
各位 JPCERT-AT-2012-0004 JPCERT/CC 2012-02-06 <<< JPCERT/CC Alert 2012-02-06 >>> PHP 5.3.9 の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120004.html I. 概要 PHP 5.3.9 の脆弱性情報が 2012年2月2日に公開されました。この脆弱性を 使用された場合、結果として遠隔の第三者によって任意のコードを実行される 可能性があります。 JPCERT/CC では本脆弱性を使用する実証コードが公開されていることを確認 していますので、管理するサーバにおいて PHP を使用している場合は、 PHP Group が提供する修正済みバージョン (PHP 5.3.10) へアップデートする ことをお勧めします。 PHP 5.3.10 Released!
PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
