mbstring.encoding_translation有効時にhashDoS脆弱性 - Opensource days
すでに徳丸氏がTwitterでコメントされていますが、PHPの過去のバージョン全てにおいてmbstring.encoding_translationをOn(有効)にした際にmax_input_varsによる制約が無効になってしまうという問題がありました。max_input_varsはユーザ入力変数の最大数を指定するパラメータであり、hashDoS対策として導入されたものです。この結果として、mbstring.encoding_translation=Onの設定でhashDoS脆弱性が存在していました。 mbstring.encoding_translationはmbstringの機能で、ユーザー入力パラメータの文字エンコーディングを自動的に内部文字エンコーディングに変換する用途で使用されています。 昨日公開された最新のバージョン(PHP 5.4.9またはPHP 5.3.19)ではこの問題が
PHP 5.3.10 緊急リリース: hashDoS対策でエンバグ - Opensource days
Suhosinなどで有名なStefan Esser氏からの指摘で、PHP 5.3.9でhashDoS対策として導入された設定オプションmax_input_vars関連の処理に不備により、リモートから任意のコードを実行される可能性がある深刻なバグが発生していることが明らかになりました。昨日、この問題を修正した PHP 5.3.10が緊急リリースされています。 問題の場所は、max_input_varsによるリクエスト変数の最大値を超える変数が入力された時に、その変数が配列(例: foo[] )であると、ポインタが初期化されない状態となってしまうというもので、比較的シンプルなバグです。 詳細な解説はTheXploit | Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOSにありま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
