PHP-4.3.7以前にリモート脆弱性発見
7/14に発表されたセキュリティ勧告「PHP memory_limit remote vulnerability」によれば、標準設定で動作しているPHPに対してデータをPOSTするだけで、任意のコードを実行できる脆弱性が発見された模様。 PHP実行プロセスのメモリ使用量を制限するmemory_limit機能のバグをついたものだ。対象となるPHPのバージョンは
- 4.3.7以前のすべてのバージョン
- 5.0.0RC3以前のすべてのバージョン
となっており、対処法としては先日リリースされた4.3.8または5.0.0にバージョンアップすることとなる。memory_limit機能を無効にするのも対処法としては有効だが、その場合はPHPの使用メモリ量の制限がなくなるので、よりDoSアタックを受けやすくなることを覚悟しなければならない。
スラッシュドット ジャパン | PHP-4.3.7以前にリモート脆弱性発見
ヤバイヨヤバイヨ((((;゜Д゜)))ガクガクガクブルブルブル
PHPって気軽にアップデートできない(互換性)面があるからな……セキュリティーパッチが出てくれないものか……