Proxyとか

ネット界隈と時事ニュースなどの日常の何気ない話題が中心な信憑性もなければ公平性もない偏った素人のメモ。

 http://fula.jp/ へのリンクはフリーです [メール] [PGP] はこちらよりどうぞ。但し、営利目的の方はご遠慮下さい。    携帯    English    韓国語    中文

| TOP | 次のページ >>

[Webprog]  μ-s ver2.09 (myu-s ver2.09) の不具合に伴うコードの修正

 more・・

当所もブログで使わせていただいているPHPスクリプト、myu-s ver2.09に不具合が見つかったようです。セキュリティーに関係するのでmyu-sを利用されている方はコードの修正が必要となります。

http://www.fleugel.com/doc/mnews.html

当ウェブサイトで過去に公開していた簡易ウェブログシステムμ-sにおいて、 脆弱性が存在する旨の報告がセキュリティ関係機関より報告がありました。

現在ご利用しているユーザーの方にはお手数をおかけしますが、 アップデート版を更新していただく必要があります。

include/system.php のファイルをメモ帳などで開き、700行目付近に、

function search($val){
global $output_html,$log_arr,$log_arr2,$logdir;

// ログをチェック。
check_log($logdir);
check_log2($logdir);
という箇所がありますので、その下の行に、

check_log($logdir);
check_log2($logdir);
$val = htmlspecialchars($val, ENT_QUOTES);

というように赤字の部分を追加します。

ユーザーが何らかのコードを送信する部分に関する変数のサニタイズは必ず必要になると思います。今回もこの部分に関しての修正ですが、ファイル書き込みとは無関係な部分なのは幸いだと思います。

サイト内関連記事
スクリプト myu-s がバージョンアップ

※上記の関連記事内のファイルも本日付けで差し替えてあります。

8年前の無償スクリプトのサポートの為に、わざわざ、FLEUGELzのmizuki様より直接連絡をいただき、本当に頭の下がる思いです。

余談ですが、FLEUGELz様のサイトはしばらくノーコンテンツな空白ページの期間が数年間続いていたように思いますが、今回のような場合を含め、ドメインの維持は大切ですね。webserverの稼働とドメインの生死は気にしていました。はい。

[2012/02/16(Thu) 20:49:36] [admin] [Comments:1] [Trackbacks:0]

[Webprog]  PHP 5.2.9-1 (for Windows) released

 more・・ PHP 5.2.9-1がリリースされたようです。今回のリリースは Windows Binary においてのセキュリティフィックスです。影響する方は限定的かと思われますが、必要のある方はアップデートしましょう。

PHP: Hypertext Preprocessor
http://www.php.net/

The PHP Development Team would like to announce the availability of a new Windows build of PHP - PHP 5.2.9-1

This release focuses on fixing a security flaw introduced by the cURL library (CVE-2009-0037). Please see the following for a full description: http://curl.haxx.se/docs/adv_20090303.html

Please note that the cURL related function is disabled when open_basedir or safe_mode enabled.

Note: Only the Windows packages are affected.

[2009/03/14(Sat) 19:16:09] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.9 Released

 more・・

PHP 5.2.9 がリリースされたようです。今回のリリースは50以上のバグフィックスといくつかのセキュリティーフィックスです。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.9 Release
http://www.php.net/releases/5_2_9.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.9

Security Enhancements and Fixes in PHP 5.2.9:

  • Fixed security issue in imagerotate(), background colour isn't validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
  • Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
  • Fixed explode() behavior with empty string to respect negative limit. (Shire)
  • Fixed a segfault when malformed string is passed to json_decode(). (Scott)
[2009/02/27(Fri) 18:24:13] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.8 Released

 more・・

PHP 5.2.8 がリリースされたようです。今回のリリースはmagic_quotes_gpcの問題で配布停止されたPHP 5.2.7に替わるものです。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.8 Release Announcement
http://www.php.net/releases/5_2_8.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.8

PHP 5.2.8:

The PHP development team would like to announce the immediate availability of PHP 5.2.8. This release addresses a regression introduced by 5.2.7 inregard to the magic_quotes functionality, that was broken by an incorrect fix to the filter extension. All users who have upgraded to 5.2.7 are encouraged to upgrade to this release, alternatively you can apply a work-around for the bug by changing "filter.default_flags=0" in php.ini.
[2008/12/17(Wed) 06:25:28] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.7 has been removed from distribution 配布停止

 more・・

PHP 5.2.7 の配布が停止されたようです。PHP 5.2.7を導入されている方は次バージョンのPHP 5.2.8へアップデートするかPHP 5.2.6へ戻す必要があります。

PHP 5.2.7 has been removed from distribution
http://www.php.net/archive/2008.php#id2008-12-07-1

Due to a security bug found in the PHP 5.2.7 release, it has been removed from distribution.The bug affects configurations where magic_quotes_gpc is enabled,because it remains off even when set to on.In the meantime, use PHP 5.2.6 until PHP 5.2.8 is later released.
[2008/12/17(Wed) 06:25:27] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.7 Released

 more・・

PHP 5.2.7 がリリースされたようです。今回のリリースはいくつかのセキュリティーフィックスと120項目以上のバグフィックス、それによる安定性の向上が期待出来ます。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.7 Release Announcement
http://www.php.net/releases/5_2_7.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.7

Security Enhancements and Fixes in PHP 5.2.7:

  • Upgraded PCRE to version 7.8 (Fixes CVE-2008-2371)
  • Fixed missing initialization of BG(page_uid) and BG(page_gid), reported by Maksymilian Arciemowicz.
  • Fixed incorrect php_value order for Apache configuration, reported by Maksymilian Arciemowicz.
  • Fixed a crash inside gd with invalid fonts (Fixes CVE-2008-3658).
  • Fixed a possible overflow inside memnstr (Fixes CVE-2008-3659).
  • Fixed security issues detailed in CVE-2008-2665 and CVE-2008-2666.
  • Fixed bug #45151 (Crash with URI/file..php (filename contains 2 dots)).(Fixes CVE-2008-3660)
  • Fixed bug #42862 (IMAP toolkit crash: rfc822.c legacy routine buffer overflow). (Fixes CVE-2008-2829)
  • Fixed extraction of zip files and directories with crafted entries, reported by Stefan Esser.
[2008/12/07(Sun) 17:39:04] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 4.4.9 release

 more・・

PHP 4.4.9 がリリースされました。セキュリティーと安定性のの向上が期待できます。また、すべてのユーザーにアップデートを強く推薦しています。尚、今回のアップデートは PHP 4.4 最後のリリースとなります。何らかの理由で未だ PHP4 を利用中の方はアップデートした方が良さそうです。

4.4.9 Release Announcement
http://www.php.net/releases/4_4_9.php

PHP 4 ChangeLog
http://www.php.net/ChangeLog-4.php#4.4.9

Security Enhancements and Fixes in PHP 4.4.9:

  • Updated PCRE to version 7.7.
  • Fixed overflow in memnstr().
  • Fixed crash in imageloadfont when an invalid font is given.
  • Fixed open_basedir handling issue in the curl extension.
  • Fixed mbstring.func_overload set in .htaccess becomes global.
[2008/08/09(Sat) 01:10:30] [admin] [Comments:0] [Trackbacks:0]

| TOP | 次のページ >>

apache_powered.gif php5_powered.gif eaccelerator_powered.gif zend_optimizer_powered.gif xmail_powered.gif opera9_browser.gif

FLEUGELz