JPCERT/CC WEEKLY REPORT 2013年8月28日号がリリース、PHP OpenID Libraryの脆弱性報告がされているなど

[Sponsored Link]


当ブログでは「役に立った!」「写真使いました!」などご参考頂いた方からのAmazonギフト券の寄付をお待ち致しております。

Share on FacebookTweet about this on TwitterShare on Google+Share on TumblrPin on PinterestShare on LinkedInDigg this

JPCERT/CCから、毎週恒例のWEEKLY REPORTの2013年8月28日号がリリースされている。PHP OpenID Libraryの脆弱性や、McAfee Email Gateway SMTPのサービス運用妨害の脆弱性などが報告がされている。

■JPCERT/CC WEEKLY REPORT 2013-08-28 – JPCERT/CC
https://www.jpcert.or.jp/wr/2013/wr133401.html

PHP OpenID Libraryでは、遠隔の第三者がサーバ上の情報を取得する可能性のある脆弱性が報告されている。
GitHubでdiffが見れる。XMLの外部エンティティを参照させることで脆弱性を悪用することを避けるために、DOMDocument::loadXML()を実行する前にlibxmlによる外部エンティティの参照を無効にし、libxmlの内部エラーを無効にするという処理をし、loadXML()後に戻すというようにしている。この際のif文で使用するパラメータは変数に保存しておき、しかるべき処理ののちに評価で使用している。

■disable external XML entities and libxml errors – php-openid
https://github.com/openid/php-openid/commit/625c16bb28bb120d262b3f19f89c2c06cb9b0da9

OpenSocial入門 ~ソーシャルアプリケーションの実践開発いきなりはじめるPHP~ワクワク・ドキドキの入門教室~PHP超入門 ~誰でもできるプログラム~基礎からのPHP (基礎からシリーズ)初めてのPHP、MySQL、JavaScript&CSS 第2版

Share on FacebookTweet about this on TwitterShare on Google+Share on TumblrPin on PinterestShare on LinkedInDigg this

当ブログでは「役に立った!」「写真使いました!」などご参考頂いた方からのAmazonギフト券の寄付をお待ち致しております。


Atsushi Ezura について

ナチュラルな女性のしぐさや表情を撮りたいIT系エンジニア。女性モデル募集中プロフィール
カテゴリー: PHP, ウェブ, コンピュータ, セキュリティ, 脆弱性 タグ: , , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。