前回のPHPウオッチ公開以降，セキュリティ関連の修正が行われたPHPのリリースが相次いで行われた。この修正点について紹介するとともに，PHPのセキュリティ機能を強化するHardened PHP Projectから新たに公開された「Suhosin」，Zend Frameworkの最新情報を中心に紹介する。 PHPリリース関連情報 PHP 4.4.4，PHP 5.1.5緊急リリース：セキュリティ関連の脆弱性を修正 PHP 4およびPHP 5において，64ビットシステムにおけるメモリー管理上のバグなど複数のセキュリティ上の問題がみつかり，PHP 4.4.4およびPHP 5.1.5が8月17日に急遽リリースされた。主な修正点を以下に示す。 1.error_log()，file_exists()，imap_open()，imap_reopen()関数においてセキュリティ関連の制約（safe_mode

ブラインドSQLインジェクションも不必要情報の脆弱性も覚えた星野君。だけど覚えないといけないことはまだまだありそうです。今日も赤坂さんといっしょにお勉強。 「はい、これでクロスサイトスクリプティングやってみせて」赤坂さんがそういって見せてくれた勉強用のWebアプリケーション、あれ、見たところ完ぺきなんですが…… 高橋さん　「どうよ？」 星野君　「え……。どうって何がですか？」 高橋さんは唐突に会話を始めることが多い。大抵の場合、星野君には何の話か分からない。 高橋さん　「こないだ赤坂さんとWebアプリの検査したでしょ。どうかなって」 星野君　「どう……っていうか、なんか難しい感じでした。簡単なのはすぐに見つけられると思うんですけど……」 高橋さん　「ふーん……」 高橋さんはしばらく考え込んだ後、赤坂さんに声を掛けた。 高橋さん　「ねぇ、赤坂さん。いまって暇？暇だよねー？」 赤坂さん　「いや

なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ（GUIアプリ）を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー

はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

「説明会の参加者枠があっという間に埋まった」。システム開発大手SCSKの井出和孝人事企画部人事企画課長は2019年1月1日から導入する副業・兼業制度に対する社員からの注目度の高さに…続き 二足のわらじ本業に活気　ロート、70人経験中 ［有料会員限定］ 二兎を追って二兎を得る　成功者に聞く副業のすすめ

Black Hatのようなカンファレンスのすばらしい点の1つは、新しい友人ができることである。とりわけ、才能に恵まれた相手に着ていたLinux Tシャツを褒められたような場合はそうだ。こうしてお近づきになったのがTerri GilbertとBecky Baceの両女史、これまでに出会ったギークやセキュリティ専門家の中でも最も注目すべき2人だ。年齢を推測するような野暮な真似をするつもりはないが、多分「お婆さんハッカー」と呼んでも彼女たちは気を悪くしないだろう。 カリフォルニア州出身の奇才Terriは、もう50年もコンピュータに関わっている。一方、アラバマ州出身のBeckyは自他共に認める実績を持ち、16年間、国家安全保障局（NSA）にいた彼女は、1980年代にNSAで開発されていた最初の侵入検知システムのプロジェクトマネージャを務めた。 現在、TerriとBeckyはInfidel, Inc

星野君は赤坂さんと一緒にお客さんのWebアプリケーションの検査をすることになった。辛うじて「不必要情報」の脆弱性を見つけたものの、赤坂さんは不満げだ。 「だって、これ、ほかにもっと危険な脆弱性あるよ……」。 赤坂さん　「ってことで、今回は50点ってとこかな」 星野君　「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」 赤坂さん　「え。だって、これ、ほかにもっと危険な脆弱性あるよ」 星野君　「（ほかにも脆弱性あるっていってもなぁ……）」 赤坂さんに「ほかにもっと危険な脆弱性あるよ」と指摘されたにもかかわらず、星野君にはサッパリ見当が付かなかった。不必要情報（Unnecessary Information）の脆弱性に気付くまでの作業で、一通り思い付くことはやりつくしていた。 そうこうしているうちに時間は過ぎ、結局ほかの脆弱性を見つけられないまま、お客さんと約束した時間になっ

(Last Updated On: 2006年8月24日)PHPには require(‘http://example.com/script.php’); と外部のURLからデータを読み取りローカルのスクリプトとして実行する機能があります。以下のようなスクリプトが致命的であることは以前にも書きました。 require($_REQUEST[‘type’].’.php’); allow_url_fopen設定で読み取りの可否を変更できるようになっているのですが、ストリームのphp://inputは制限できないので、allow_url_fopenの設定に関わらずリモートスクリプトが実行できてしまう仕組みになっています。(「php://inputによりPHPスクリプトインジェクションが可能になる」とした方がより正しいですね） 最近、この不正なリモートスクリプトの読み取り・実行が行える脆弱性を調べてい

「（PHPで書かれたアプリケーションには）アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は，2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で，PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では，実際に存在するアプリケーションの名前を出し，そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず，「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは，データベース，メール・システム，ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション，出力時にきちんとエスケープ処理（フィルタリング）を行えば，か