Proxyとか

ネット界隈と時事ニュースなどの日常の何気ない話題が中心な信憑性もなければ公平性もない偏った素人のメモ。

 http://fula.jp/ へのリンクはフリーです [メール] [PGP] はこちらよりどうぞ。但し、営利目的の方はご遠慮下さい。    携帯    English    韓国語    中文

<< 前のページ | TOP | 次のページ >>

[Webprog]  μ-s ver2.09 (myu-s ver2.09) の不具合に伴うコードの修正

 more・・

当所もブログで使わせていただいているPHPスクリプト、myu-s ver2.09に不具合が見つかったようです。セキュリティーに関係するのでmyu-sを利用されている方はコードの修正が必要となります。

http://www.fleugel.com/doc/mnews.html

当ウェブサイトで過去に公開していた簡易ウェブログシステムμ-sにおいて、 脆弱性が存在する旨の報告がセキュリティ関係機関より報告がありました。

現在ご利用しているユーザーの方にはお手数をおかけしますが、 アップデート版を更新していただく必要があります。

include/system.php のファイルをメモ帳などで開き、700行目付近に、

function search($val){
global $output_html,$log_arr,$log_arr2,$logdir;

// ログをチェック。
check_log($logdir);
check_log2($logdir);
という箇所がありますので、その下の行に、

check_log($logdir);
check_log2($logdir);
$val = htmlspecialchars($val, ENT_QUOTES);

というように赤字の部分を追加します。

ユーザーが何らかのコードを送信する部分に関する変数のサニタイズは必ず必要になると思います。今回もこの部分に関しての修正ですが、ファイル書き込みとは無関係な部分なのは幸いだと思います。

サイト内関連記事
スクリプト myu-s がバージョンアップ

※上記の関連記事内のファイルも本日付けで差し替えてあります。

8年前の無償スクリプトのサポートの為に、わざわざ、FLEUGELzのmizuki様より直接連絡をいただき、本当に頭の下がる思いです。

余談ですが、FLEUGELz様のサイトはしばらくノーコンテンツな空白ページの期間が数年間続いていたように思いますが、今回のような場合を含め、ドメインの維持は大切ですね。webserverの稼働とドメインの生死は気にしていました。はい。

[2012/02/16(Thu) 20:49:36] [admin] [Comments:1] [Trackbacks:0]

[Webprog]  PHP 5.2.9-1 (for Windows) released

 more・・ PHP 5.2.9-1がリリースされたようです。今回のリリースは Windows Binary においてのセキュリティフィックスです。影響する方は限定的かと思われますが、必要のある方はアップデートしましょう。

PHP: Hypertext Preprocessor
http://www.php.net/

The PHP Development Team would like to announce the availability of a new Windows build of PHP - PHP 5.2.9-1

This release focuses on fixing a security flaw introduced by the cURL library (CVE-2009-0037). Please see the following for a full description: http://curl.haxx.se/docs/adv_20090303.html

Please note that the cURL related function is disabled when open_basedir or safe_mode enabled.

Note: Only the Windows packages are affected.

[2009/03/14(Sat) 19:16:09] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.9 Released

 more・・

PHP 5.2.9 がリリースされたようです。今回のリリースは50以上のバグフィックスといくつかのセキュリティーフィックスです。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.9 Release
http://www.php.net/releases/5_2_9.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.9

Security Enhancements and Fixes in PHP 5.2.9:

  • Fixed security issue in imagerotate(), background colour isn't validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
  • Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
  • Fixed explode() behavior with empty string to respect negative limit. (Shire)
  • Fixed a segfault when malformed string is passed to json_decode(). (Scott)
[2009/02/27(Fri) 18:24:13] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.8 Released

 more・・

PHP 5.2.8 がリリースされたようです。今回のリリースはmagic_quotes_gpcの問題で配布停止されたPHP 5.2.7に替わるものです。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.8 Release Announcement
http://www.php.net/releases/5_2_8.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.8

PHP 5.2.8:

The PHP development team would like to announce the immediate availability of PHP 5.2.8. This release addresses a regression introduced by 5.2.7 inregard to the magic_quotes functionality, that was broken by an incorrect fix to the filter extension. All users who have upgraded to 5.2.7 are encouraged to upgrade to this release, alternatively you can apply a work-around for the bug by changing "filter.default_flags=0" in php.ini.
[2008/12/17(Wed) 06:25:28] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.7 has been removed from distribution 配布停止

 more・・

PHP 5.2.7 の配布が停止されたようです。PHP 5.2.7を導入されている方は次バージョンのPHP 5.2.8へアップデートするかPHP 5.2.6へ戻す必要があります。

PHP 5.2.7 has been removed from distribution
http://www.php.net/archive/2008.php#id2008-12-07-1

Due to a security bug found in the PHP 5.2.7 release, it has been removed from distribution.The bug affects configurations where magic_quotes_gpc is enabled,because it remains off even when set to on.In the meantime, use PHP 5.2.6 until PHP 5.2.8 is later released.
[2008/12/17(Wed) 06:25:27] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.7 Released

 more・・

PHP 5.2.7 がリリースされたようです。今回のリリースはいくつかのセキュリティーフィックスと120項目以上のバグフィックス、それによる安定性の向上が期待出来ます。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.7 Release Announcement
http://www.php.net/releases/5_2_7.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.7

Security Enhancements and Fixes in PHP 5.2.7:

  • Upgraded PCRE to version 7.8 (Fixes CVE-2008-2371)
  • Fixed missing initialization of BG(page_uid) and BG(page_gid), reported by Maksymilian Arciemowicz.
  • Fixed incorrect php_value order for Apache configuration, reported by Maksymilian Arciemowicz.
  • Fixed a crash inside gd with invalid fonts (Fixes CVE-2008-3658).
  • Fixed a possible overflow inside memnstr (Fixes CVE-2008-3659).
  • Fixed security issues detailed in CVE-2008-2665 and CVE-2008-2666.
  • Fixed bug #45151 (Crash with URI/file..php (filename contains 2 dots)).(Fixes CVE-2008-3660)
  • Fixed bug #42862 (IMAP toolkit crash: rfc822.c legacy routine buffer overflow). (Fixes CVE-2008-2829)
  • Fixed extraction of zip files and directories with crafted entries, reported by Stefan Esser.
[2008/12/07(Sun) 17:39:04] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 4.4.9 release

 more・・

PHP 4.4.9 がリリースされました。セキュリティーと安定性のの向上が期待できます。また、すべてのユーザーにアップデートを強く推薦しています。尚、今回のアップデートは PHP 4.4 最後のリリースとなります。何らかの理由で未だ PHP4 を利用中の方はアップデートした方が良さそうです。

4.4.9 Release Announcement
http://www.php.net/releases/4_4_9.php

PHP 4 ChangeLog
http://www.php.net/ChangeLog-4.php#4.4.9

Security Enhancements and Fixes in PHP 4.4.9:

  • Updated PCRE to version 7.7.
  • Fixed overflow in memnstr().
  • Fixed crash in imageloadfont when an invalid font is given.
  • Fixed open_basedir handling issue in the curl extension.
  • Fixed mbstring.func_overload set in .htaccess becomes global.
[2008/08/09(Sat) 01:10:30] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.6 Release

 more・・

PHP 5.2.6 がリリースされたようです。今回のリリースはいくつかのセキュリティーフィックスと120項目以上のバグフィックス、それによる安定性の向上が期待出来ます。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.6 Release Announcement
http://www.php.net/releases/5_2_6.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.6

Security Enhancements and Fixes in PHP 5.2.6:

  • Fixed possible stack buffer overflow in the FastCGI SAPI identified by Andrei Nigmatulin.
  • Fixed integer overflow in printf() identified by Maksymilian Aciemowicz.
  • Fixed security issue detailed in CVE-2008-0599 identified by Ryan Permeh.
  • Fixed a safe_mode bypass in cURL identified by Maksymilian Arciemowicz.
  • Properly address incomplete multibyte chars inside escapeshellcmd() identified by Stefan Esser.
  • Upgraded bundled PCRE to version 7.6
[2008/05/04(Tue) 16:02:36] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  GET_headerとGET_header_source_captureを一年半ぶりに更新

 more・・

PHPでHTTP Header(ヘッダー)を取得するスクリプトのGET_headerと、それの拡張版のGET_header_source_captureに個人的な需要からURLの階層を遡れる機能を追加してみました。

s-2008.04.09_get_header


上記の画像を見て頂くと下の方にURLを遡れるボタンが有る事がわかると思います。URLを/(スラッシュで)区切って遡れます。クエリの組み立て方は多種多様なのでクエリがある場合は、ばっさり切り捨てる仕様です。

色々書きましたが中身は一行たしただけです。(PHP)

//URLの親階層を解析、置き換え
$upurl = preg_replace("/(https?:\/\/)(.*\/)(.*\/$|\?.*$|.*\.\w{2,5}$)/", "\$1\$2", "$url");

厳密にやれば色々あるのだろうけど他にもっと簡単で良い方法があるのかなぁ。

サイト内関連記事
Header (ヘッダー) を見る為のPHPスクリプト
GET_header_source_capture PHPで取得

[2008/04/09(Wed) 13:34:34] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.5 Release

 more・・

PHP 5.2.5 がリリースされたようです。今回のリリースはいくつかのセキュリティーフィックスと60項目以上のバグフィックスです。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.4 Release Announcement
http://www.php.net/releases/5_2_5.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.5

Security Enhancements and Fixes in PHP 5.2.5:

  • Fixed dl() to only accept filenames. Reported by Laurent Gaffie.
  • Fixed dl() to limit argument size to MAXPATHLEN (CVE-2007-4887). Reported by Laurent Gaffie.
  • Fixed htmlentities/htmlspecialchars not to accept partial multibyte sequences. Reported by Rasmus Lerdorf
  • Fixed possible triggering of buffer overflows inside glibc implementations of the fnmatch(), setlocale() and glob() functions. Reported by Laurent Gaffie.
  • Fixed "mail.force_extra_parameters" php.ini directive not to be modifiable in .htaccess due to the security implications. Reported by SecurityReason.
  • Fixed bug #42869 (automatic session id insertion adds sessions id to non-local forms).
  • Fixed bug #41561 (Values set with php_admin_* in httpd.conf can be overwritten with ini_set()).
[2007/11/10(Sat) 22:07:56] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.4 Release

 more・・

PHP 5.2.4 がリリースされたようです。今回のリリースは優先度の低いセキュリティーフィックスと120項目以上のバグフィックスです。すべてのPHPユーザーに対してアップデートを推薦しています。必要のある方はアップデートしましょう。

PHP 5.2.4 Release Announcement
http://www.php.net/releases/5_2_4.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.4

Security Enhancements and Fixes in PHP 5.2.4:

  • Fixed a floating point exception inside wordwrap() (Reported by Mattias Bengtsson)
  • Fixed several integer overflows inside the GD extension (Reported by Mattias Bengtsson)
  • Fixed size calculation in chunk_split() (Reported by Gerhard Wagner)
  • Fixed integer overflow in str[c]spn(). (Reported by Mattias Bengtsson)
  • Fixed money_format() not to accept multiple %i or %n tokens. (Reported by Stanislav Malyshev)
  • Fixed zend_alter_ini_entry() memory_limit interruption vulnerability. (Reported by Stefan Esser)
  • Fixed INFILE LOCAL option handling with MySQL extensions not to be allowed when open_basedir or safe_mode is active. (Reported by Mattias Bengtsson)
  • Fixed session.save_path and error_log values to be checked against open_basedir and safe_mode (CVE-2007-3378) (Reported by Maksymilian Arciemowicz)
  • Fixed a possible invalid read in glob() win32 implementation (CVE-2007-3806) (Reported by shinnai)
  • Fixed a possible buffer overflow in php_openssl_make_REQ (Reported by zatanzlatan at hotbrev dot com)
  • Fixed an open_basedir bypass inside glob() function (Reported by dr at peytz dot dk)
  • Fixed a possible open_basedir bypass inside session extension when the session file is a symlink (Reported by c dot i dot morris at durham dot ac dot uk)
  • Improved fix for MOPB-03-2007.
  • Corrected fix for CVE-2007-2872.
[2007/09/01(Sat) 21:39:11] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP4 開発終了アナウンス。サポートは 2007.12.31 迄

 more・・

PHP4 のサポートが今年いっぱいで終了するようです。当所は既に、PHP5 に移行していますが、PHP5 がリリースされてもう三年も経ったんだなとあらためて感じました。月日が流れるのは早いものですね。

PHP: Hypertext Preprocessor
http://www.php.net/ (日本語機械翻訳)

PHP 4 end of life announcement

13-Jul-2007

Today it is exactly three years ago since PHP 5 has been released. In those three years it has seen many improvements over PHP 4. PHP 5 is fast, stable & production-ready and as PHP 6 is on the way, PHP 4 will be discontinued.

The PHP development team hereby announces that support for PHP 4 will continue until the end of this year only. After 2007-12-31 there will be no more releases of PHP 4.4. We will continue to make critical security fixes available on a case-by-case basis until 2008-08-08. Please use the rest of this year to make your application suitable to run on PHP 5.

For documentation on migration for PHP 4 to PHP 5, we would like to point you to our migration guide. There is additional information available in the PHP 5.0 to PHP 5.1 and PHP 5.1 to PHP 5.2 migration guides as well.

[2007/07/16(Mon) 09:40:36] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 5.2.3 Release

 more・・

PHP 5.2.3 がリリースされたようです。必要のある方はアップデートしましょう。PHPは開発速度が速いのでこまめにチェックしないと、いつの間にかリリースされていることが良くあります。

PHP 5.2.3 Release Announcement
http://www.php.net/releases/5_2_3.php

PHP 5 ChangeLog
http://www.php.net/ChangeLog-5.php#5.2.3

Security Enhancements and Fixes in PHP 5.2.3:

  • Fixed an integer overflow inside chunk_split() (by Gerhard Wagner, CVE-2007-2872)
  • Fixed possible infinite loop in imagecreatefrompng. (by Xavier Roche, CVE-2007-2756)
  • Fixed ext/filter Email Validation Vulnerability (MOPB-45 by Stefan Esser, CVE-2007-1900)
  • Fixed bug #41492 (open_basedir/safe_mode bypass inside realpath()) (by bugs dot php dot net at chsc dot dk)
  • Improved fix for CVE-2007-1887 to work with non-bundled sqlite2 lib.
  • Added mysql_set_charset() to allow runtime altering of connection encoding.
[2007/06/01(Fri) 17:57:35] [admin] [Comments:0] [Trackbacks:0]

[Webprog]  PHP 4.4.6 Release

 more・・

PHP 4.4.6 がリリースされました。 PCRE ライブラリのアップデートと各バグフィックスがメインのようです。PHP5に移行していない方はうれしいアップデートですね。

PHP 4.4.6 Release Announcement
http://www.php.net/releases/4_4_6.php

PHP 4 ChangeLog
http://www.php.net/ChangeLog-4.php#4.4.6

Version 4.4.6

  • Updated PCRE to version 7.0.
  • Fixed segfault in ext/session when register_globals=On.
  • Fixed bug (segfault in cURL extension).
  • Fixed bug (possible cURL memory error).
  • Fixed bug (imagettftext() multithreading issue).
  • Fixed bug (ext/interbase compile failure).
  • Fixed bug (PHP fastcgi with PHP_FCGI_CHILDREN don't kill children when parent is killed).
[2007/03/02(Fri) 12:00:00] [admin] [Comments:0] [Trackbacks:0]

<< 前のページ | TOP | 次のページ >>

apache_powered.gif php5_powered.gif eaccelerator_powered.gif zend_optimizer_powered.gif xmail_powered.gif opera9_browser.gif

FLEUGELz