TOP > 過去のお知らせ
2005-11-04
【重要】PHPのセキュリティホールについて
PHP4の4.4.0以前とPHP5の5.0.5以前のバージョンに、“最悪”のセキュリティホールが発見されました。
基本的には、PHPの設定で register_globals=offになっていれば問題ないと思われるのですが、他にも様々な要因が絡むため、完全に問題がないとは言い切れません(申し訳ありません)。
基本的には最新のPHP4.4.1にアップデートすればセキュリティホールはふさがるのですが、CMS Designer自体をPHP4.4.0以降の環境で動作させた実績がなく、どうなるか現時点で未定の状態です。
弊社で試験環境として用いているサーバーが共用レンタルサーバの為、こちらの都合でPHPのバージョンを上げることができず、現在レンタルサーバ管理者に問い合わせ中です(対処は予定に挙がっている、という回答を得ていますが、時期が未定です)。
大変ご迷惑をおかけしております。
もしユーザー様の中でPHP4.4.1環境、もしくはPHP 4.3.11用のセキュリティパッチで動作した、もしくは動作しなかった、という方がいらっしゃいましたら、cms@al-design.jpまで情報をお寄せ下さい。m(_ _)m
問題が出ましたら、すぐに対処させて頂きます。
情報が入り次第、すぐにご報告させて頂きます。
現在、週明けには結果をご報告できるよう、準備中です。ご迷惑をおかけしますが、今しばらくお待ち頂ければ幸いです。
途中経過はユーザーフォーラムを参照して下さい。
【関連情報 2005-11-4 13:00】
・CMS Designerでは$GLOBALS変数や、import_request_variables関数、PEARは使っておりません。また、register_globals=offでも問題なく動作します。
・ロリポップ様のレンタルサーバー(弊社利用のサーバー)は、未だにPHP4.3.10の、register_globals=onの環境です。.htaccess にて「php_flag register_globals Off」を追加して頂ければ、最悪の状況はとりあえず回避できます。
・XREA様のサーバースペース(s52)では、PHP4.3.11でregister_globals=offになっているようです。恐らく問題はないかと思うのですが、予断を許しません。
【追記 2005-11-5 0:30】
・XREAのサーバーはPHP4.4.2-devに切り替わっているようです。各自お確かめ下さい。
基本的には、PHPの設定で register_globals=offになっていれば問題ないと思われるのですが、他にも様々な要因が絡むため、完全に問題がないとは言い切れません(申し訳ありません)。
基本的には最新のPHP4.4.1にアップデートすればセキュリティホールはふさがるのですが、CMS Designer自体をPHP4.4.0以降の環境で動作させた実績がなく、どうなるか現時点で未定の状態です。
弊社で試験環境として用いているサーバーが共用レンタルサーバの為、こちらの都合でPHPのバージョンを上げることができず、現在レンタルサーバ管理者に問い合わせ中です(対処は予定に挙がっている、という回答を得ていますが、時期が未定です)。
大変ご迷惑をおかけしております。
もしユーザー様の中でPHP4.4.1環境、もしくはPHP 4.3.11用のセキュリティパッチで動作した、もしくは動作しなかった、という方がいらっしゃいましたら、cms@al-design.jpまで情報をお寄せ下さい。m(_ _)m
問題が出ましたら、すぐに対処させて頂きます。
情報が入り次第、すぐにご報告させて頂きます。
現在、週明けには結果をご報告できるよう、準備中です。ご迷惑をおかけしますが、今しばらくお待ち頂ければ幸いです。
途中経過はユーザーフォーラムを参照して下さい。
【関連情報 2005-11-4 13:00】
・CMS Designerでは$GLOBALS変数や、import_request_variables関数、PEARは使っておりません。また、register_globals=offでも問題なく動作します。
・ロリポップ様のレンタルサーバー(弊社利用のサーバー)は、未だにPHP4.3.10の、register_globals=onの環境です。.htaccess にて「php_flag register_globals Off」を追加して頂ければ、最悪の状況はとりあえず回避できます。
・XREA様のサーバースペース(s52)では、PHP4.3.11でregister_globals=offになっているようです。恐らく問題はないかと思うのですが、予断を許しません。
【追記 2005-11-5 0:30】
・XREAのサーバーはPHP4.4.2-devに切り替わっているようです。各自お確かめ下さい。