PHPにリモートユーザーが任意のコードを実行できる脆弱性

PHP の脆弱性(CVE-2012-0830)について。

PHP 5.3.9 に、リモートの攻撃者が任意のコードを実行できる脆弱性があったようです。

National Vulnerability Database (NVD) National Vulnerability Database (CVE-2012-0830)

リンク先の実証コードを見る限り、リクエストに配列形式で同名のパラメータが大量に含まれていると影響を受ける感じでしょうか。

この脆弱性は hashdos 対策で実装されたコードに起因するようなので、使用しているディストリビューションでこの脆弱性に対応したバージョン(5.3.10)がまだ利用できない等の場合、あえて hashdos 対策前のバージョン(5.3.8 以前)に戻して、Apache の mod_security で防御する等の対応が必要になるかも知れませんね。

ちなみに Red Hat Enterprise Linux のセキュリティアップデート情報はこちら。

手元の CentOS 6.2 では対策リリースである 5.3.3-3.el6_2.6 が既に用意されていました。

カテゴリー: システム管理 | タグ: , , , | コメントをどうぞ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です