XREA.COM スペック
時代の変化を汲み取り、多様なアプローチを続けてきた無料レンタルサーバー「XREA」が、 デザイン・コンセプトも新たに初心者の方から企業様までさまざまな用途に使える次世代のレンタルサーバーとして生まれ変わります。 Webサイト全面リニューアル Webサイトを全面的に再構築し、シンプルなUIと導線で初心者の方でも、必要な情報に簡単に素早く到達できるよう設計いたしました。また、タブレット端末やスマートフォンなどそれぞれのマルチデバイスにも対応しています。 全プラン最新のCPU、SSDに対応 サーバー環境に最新のCPU、SSDを採用し、さらなる高速化と安定性を提供しています。高機能なインフラ上で運用することで、ユーザーが構築したシステムの安定稼働を実現できます。 現在の仕様はこちら
PHP 5.4.3とPHP 5.3.13が公開 - CGIの重大な脆弱性に対処
PHPデベロッパチームは5月8日(米国時間)、PHPの最新版となる「PHP 5.4.3」および「PHP 5.3.13」を公開した。どちらもPHPのCGIモードにあった重大な脆弱性が修正されており、すべてのユーザに対してアップグレードを推奨している。 PHP 5.4.3、PHP 5.3.13はともに同じ脆弱性に対処したバージョン。この脆弱性は、アメリカのセキュリティ研究センターCERTが3日(米国時間)に発表した問題で、DoS攻撃を受けたりWebサーバ権限でコードを実行される危険性があった。 PHP GroupではURLの末尾(index.php?)に「-s」をつけてアクセスし、ソースコードが表示された場合には、これらの攻撃を受ける可能性があるという。実はこの脆弱性については、3日に公開された「PHP 5.4.2」および「PHP 5.3.12」で対処したと発表したが、その後、6日に修正が不十
【対策されました】WebARENA SuiteX で WordPress3.2 以上を使いたい等の理由で PHP 5.3 を使ってる人は今すぐ脆弱性対策しましょう / JeffreyFrancesco.org
【対策されました】WebARENA SuiteX で WordPress3.2 以上を使いたい等の理由で PHP 5.3 を使ってる人は今すぐ脆弱性対策しましょう 公開日: 2012年5月7日 タグ: php, suitex, wordpress, security 以下の内容は 2012年5月7日に緊急でアップしたものです。現在は SuiteX 側で同様の対策が実施されておりますのでユーザ側で対策する必要はありません。追記 2に示したリンク先をご確認下さい。 朝起きたら徳丸浩の日記にCGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)という記事がアップされておりました。 CGI環境でPHPを動作させているサイトには、リモートからスクリプト実行を許してしまう脆弱性があります。php.netから提供されている修正リリース(PHP 5.3.12 / PHP 5.
「PHP 5.4.2」におけるCGI関連のバグ修正は不完全、5月8日に再リリースへ | OSDN Magazine
PHP開発チームは5月3日、「PHP 5.4.2」および「PHP 5.3.12」をリリースした。ここで2004年より存在していたというCGI関連の脆弱性を修正したとしていたが、その3日後にこの脆弱性を完全に修正できていないことが報告された。そのため、5月8日にこの脆弱性を修正したものがリリースされる予定となっている。 この脆弱性はCGIベースでPHPを動作させている一部の環境で発生するもので、悪用されると遠隔からコードが実行されてしまうという。脆弱性情報のCommon Vulnerabilities and Exposures(共通脆弱性識別子)では「CVE-2012-1823」と識別されており、Apache+mod_phpや、nginx+php-fpmは影響しないとしているが、Apache+mod_cgiを利用している場合は影響を受ける可能性があるとしている。PHP開発チームでは確認方法
CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)
CGI環境でPHPを動作させているサイトには、リモートからスクリプト実行を許してしまう脆弱性があります。php.netから提供されている修正リリース(PHP 5.3.12 / PHP 5.4.2)は不完全なため、該当するサイトは至急回避策を導入することを推奨します。 概要 CGIの仕様として、クエリ文字列に等号を含めない場合は、クエリ文字列がCGIスクリプトのコマンドライン引数として指定されます。 例えば、http://example.jp/test.cgi?foo+bar+bazという呼び出しに対しては、test.cgiは以下のコマンドラインで呼び出されます。 test.cgi foo bar baz この仕様を悪用して、CGI版のPHPにコマンドライン引数としてPHPのオプションを指定できます。例えば、http://example.jp/test.php?-s というリクエストは、-s
[PHP]CVE-2012-1823の回避策
追記:より詳細の報告を公開しましたのでそちらを参照下さい CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) 追記終わり。 昨日のメモでは、CVE-2012-1823の対処をFastCGIかmod_phpに移行するとしていたが、CGIのまま暫定対処する方法を以下に公開する。 PHPの設定が以下と想定する。 AddHandler application/x-httpd-php5 .php Action application/x-httpd-php5 /cgi-bin/php-cgi php-cgiを呼び出すラッパー(/cgi-bin/php-wrapper)を以下のように記述する。実行権限を付与すること。php-cgiにパラメータを渡さないところがポイント。 #!/bin/sh exec /usr/local/bin/php-cgi PHPの設定を以下のよ
![[PHP]CVE-2012-1823の回避策](https://cdn-ak-scissors.b.st-hatena.com/image/square/3ef7fac9b554623dd0eb0bd4199923c61b960af5/height=288;version=1;width=512/https%3A%2F%2F64.media.tumblr.com%2Favatar_91c62c837442_512.pnj){kind=avatar}
[PHP]CVE-2012-1823に関する暫定メモ
追記:より詳細の報告を公開しましたのでそちらを参照下さい CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) 追記終わり。 【概要】 PHP5.4.2で修正された脆弱性だが、直っていない。CGI版のみが影響を受ける。mod_phpやFastCGIによるPHP実行の場合影響なしとされる。 【影響】 ・PHPの実行時オプションが外部から指定されるその結果として以下の影響がある ・リモートのスクリプト実行(影響甚大) ・PHPソースの表示 【影響を受けるサイト】 ・PHPをCGIとして実行しているサイト(FastCGIは大丈夫らしい) 【回避策】 ・PHP本家の改修リリース(5.4.2など)は不十分な対策(PHP5.4.2でもリモートコード実行できることを確認済み) ・mod_rewriteによる回避策も不十分らしいが情報不足 ・FastCGIまたはmod_ph
PHPのロケールに関するまとめ - hnwの日記
5/3 17:45追記:t_komuraさんに指摘いただいた関数と、さらに僕が調べ直したものを含め、「ロケール設定に従う関数一覧」に25個ほど追加しました。かなり見落としがありましたね…。 PHPのロケール*1まわりについて調査したので、これをまとめてみます。 この記事は「ロケールの影響を受ける関数 - Sarabande.jp」を掘り下げたものです。masakielasticさん、ナイスな記事をありがとうございます。 PHPの文字列型と文字エンコーディング 他のモダンなLL言語と異なり、PHPは文字列の文字エンコーディングに関して何も仮定せず、単なるバイト列として管理しています。つまり、文字エンコーディングの取り扱いは各関数の実装に委ねられています。 下記の通り、これはマニュアルにも記述があるのですが、実に残念なことです。 残念ながら、PHP の各関数が文字列のエンコーディングを判断する
徳丸本に載っていないWebアプリケーションセキュリティ / PHPカンファレンス北海道2012 on Vimeo
Keyboard Shortcuts Just think about it… What if you were trapped under something heavy and the mouse was out of your reach? Scary, right? That's exactly why we have these keyboard shortcuts so you can still use Vimeo until the help arrives. [ Prev video ] Next video L Like this video S Share this video F Full screen V Couch Mode M More videos ? More shortcuts
PHPカンファレンス北海道を開催しました #phpcondo - nazolabo
2012年4月21日(土)に、北海道では初めてとなる、PHPカンファレンス北海道が開催されました。 今回、私は実行委員長ということで、立ち上げから全ての面でイベントを作っていきました。 何で開催したの? 元々「北海道でもPHPカンファレンスやるといいんじゃないかなー関西でも開催したしなー」と、関西の開催あたりからぼんやりと思っていたのですが、直接のきっかけは、しまださんから、 「札幌でPHPの大きいイベントやらないの?」 みたいなことを言われたことでした。 とは言っても、言われたからやったわけではないです。 普段から、LOCAL PHP部での発表者不足や、PHP技術者がそもそもどこにいるかわからない、という悩みを抱えており、大きいイベントをすることで、そういう人達が集まることができるのではないか、と思っていました。 また、実績がある「PHPカンファレンス」という名前を使うことにより、普段の
PHPカンファレンス北海道での講演の聞き所と事前課題
すでに私のブログでご案内のように、PHPカンファレンス北海道で講演します。このエントリでは、講演の聞き所と、講演を十分に理解するための事前課題をご案内します。 タイトル:徳丸本に載っていないWebアプリケーションセキュリティアジェンダキャッシュからの情報漏洩に注意クリックジャッキング入門Ajaxセキュリティ入門ドリランド カード増殖祭りはこうしておこった…かも?キャッシュからの情報漏洩に注意このネタをやろうと思ったきっかけは、OpenPNEの以下のセキュリティリリースです。 【緊急リリース】すべてのバージョンの OpenPNE に存在する、クライアント側キャッシュを経由した非公開情報漏洩の問題への対応のお知らせ (OPSA-2011-004)キャッシュ経由での情報漏洩は、脆弱性診断屋の診断項目には入っています(但し上級プランのみの場合が多い)が、あまりこの問題が脆弱情報として流れてくるのを
PHP :: Bugs homepage
PHP Bug Tracking System Before you report a bug, please make sure you have completed the following steps: Used the form above or our advanced search page to make sure nobody has reported the bug already. Make sure you are using the latest stable version or a build from Git, if similar bugs have recently been fixed and committed. Read our tips on how to report a bug that someone will want to help f
PHP classの教室
PHPで関数は使えるけれどオブジェクト指向はよくわからないという人向けの勉強会の資料です。 Ustream録画 (1/5) http://www.ustream.tv/recorded/21256905 67分 (2/5) http://www.ustream.tv/recorded/21253084 80分 (3/5) http://www.ustream.tv/recorded/21254139 60分 (4/5) http://www.ustream.tv/recorded/21254817 24分 (5/5) http://www.ustream.tv/recorded/21255084 6分 Read less
CakePHP における Mass Assignment 脆弱性対策
Rails 界隈で話題の Mass Assignment 脆弱性を CakePHP で防ぐ方法です。 Github に Mass Assignment 脆弱性が発見されて、Rails 界隈で話題になっています。この問題自体は目新しいものではなく、Rails 自体の問題というより、Rails アプリケーションの作り方の問題ということで、以前から作る側が注意を払う必要がありました。 この Mass Assignment 脆弱性は、Rails を手本に発展してきた CakePHP アプリケーションでも同様の問題が発生する可能性があります。知っている人には常識なのですが、まだ知らない人もいるかと思うので、CakePHPにおける対策方法を書いてみます。下記コードはCakePHP2系を想定していますが、考え方はCakePHP1系でも同じです。 Mass Assignment 脆弱性 CakePHP に
PHPのescapeshellcmdを巡る冒険
以前、ブログ記事「PHPのescapeshellcmdの危険性」にて、escapeshellcmd関数の「余計なお世話」によって危険性が生まれていることを指摘しましたが、その後大垣さんによって修正案が提示され、結局「それはマニュアルの間違い」ということで決着が着いたようです。ところが、この議論とは別のところで、escapeshellcmdはPHP5.4.0で挙動が少し変わっていることが分かりました。 経緯 2011/1/1 徳丸が「PHPのescapeshellcmdの危険性」を書いて、クォート文字がペアになっている場合にエスケープしないという仕様が余計なお世話であり、危険性が生じていることを指摘 2011/1/7 大垣さんがブログエントリ「phpのescapeshellcmdの余計なお世話を無くすパッチ」にて修正案を提示 2011/10/23 廣川さんが、大垣さんのパッチ案を少し修正して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVNVU#520827: PHP-CGI の query string の処理に脆弱性
explore
http://www.hash-c.co.jp/archives/phpcondo2012.html
はてなブログ | 無料ブログを作成しよう
PHP :: Doc Bug #60116 :: escapeshellcmd() cannot escape the chars which causes shell injection.