--

--

コメント

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
管理者にだけ表示を許可する

この記事のトラックバックURL

http://welcomevac201world.blog84.fc2.com/tb.php/230-9a1ec38c

11

19

コメント

CakePHPのSecurityComponentにセキュリティーホールがみつかりました

CakePHPのSecurityComponentにセキュリティーホールが見つかったようです。

Shin x blogさんの記事にて知りました。
http://www.1x1.jp/blog/2010/11/cakephp_security_component_vulnerability.html
ありがとうございます!!


外部から任意のコードを実行させることができるという
mjd?という深刻な内容です..

bakeryの本文いわく、リモートファイルインクルード(RFI)攻撃とか、
ローカルファイルインクルード(LFI)攻撃などに対応したということです。

リモートファイルインクルード(Remote File Inclusion) RFI
サーバーを攻撃する手法の一つ。PHPやPerlなどスクリプト言語で作成されたWebアプリケーションの脆弱性をつき、外部の端末から攻撃用のコードをWebページに挿入することで、そのページを格納しているWebサーバーへ攻撃を行う手法。

ローカルファイルインクルード(Local file inclusion) LFI
サーバ上の任意ファイルの内容が覗かれてしまう、または、意図しないコードを途中から実行されてしまう。



SecurityComponentがCSRFに対応するためのものなので、
早くチェックしなきゃですね。


Shin × blogさんの記事にて、確認方法が紹介されています。
(記事の全文を読むことをお勧めします)

まずは確認を

CakePHPを使っている方は、まずはSecurityComponentを利用しているか確認を。

簡易的ですが、SecurityComponent を使っているかどうかは以下のコマンドでも探せます。

% find app/ -name "*.php" | xargs grep "'Security'"
% find plugin/ -name "*.php" | xargs grep "'Security'"


まだ実際のサイトでの攻撃例は聞かないですが、今後発生する可能性があります。お気をつけを。




これにともなって、1.3と1.2の最新版がリリースされています。

最新版は1.3.6と1.2.9です。

CakePHP The Bakery
http://bakery.cakephp.org/articles/markstory/2010/11/13/cakephp_1_3_6_and_1_2_9_released

1.3
・CakeSchema::compare() now better handles comparing '' and null.
・NumberHelper::currency() better formats € amounts of less than 1.0.
・Race conditions in Model::delete() were fixed, so deletions only occur for the specified record.
・A security issue in SecurityComponent was fixed.

1.2
・Race conditions in Model::delete() were fixed, so deletions only occur for the specified record.
・A security issue in SecurityComponent was fixed.
・SecurityComponent and digest auth work correctly with email address usernames.
・EmailComponent now more correctly handles email addresses with name aliases




うちも確認しなくちゃアワワ ヽ(´Д`;≡;´Д`)丿 アワワ
関連記事
スポンサーサイト
管理者にだけ表示を許可する

この記事のトラックバックURL

http://welcomevac201world.blog84.fc2.com/tb.php/230-9a1ec38c

ようこそ!

ブロとも申請フォーム

ブロ友申請大歓迎です!
一覧に表示されるので自動で相互リンクになります!

>> ブロ友申請はこちら <<

検索フォーム

最近のコメント

メールフォーム

名前:
メール:
件名:
本文:

FC2ブログランキング

人気ブログランキング

人気ブログランキング

ブログ村

アクセスランキング

[ジャンルランキング]
育児
970位
アクセスランキングを見る>>

[サブジャンルランキング]
パパ育児
65位
アクセスランキングを見る>>

やーんは今、

ブロとも一覧

Designed by

Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。