laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129PHPSecurityLaravelkinsingkdevtmpfsi webサーバー上でlaravelを動かしていれば、ちょっとした設定のミスで誰でもマルウェアに感染する可能性がある激ヤバセキュリティホール(CVE-2021-3129)が2021年1月20日に報告されています! composerでインストールしたパッケージをバージョンアップせずに使っていませんか? インターネット上に公開されているサーバー、特にステージングや開発環境でDEBUG=ONにしていませんか? エラー画面がこんな風に見えますか? この3つの条件を満たしていると、あなたのlaravelは、今すぐにでもマルウェアに感染する可能性があります。 laravelの脆弱性をついたkinsing(k
はじめに PHP Advent Calendar 2020 の17日目を担当します平田です。よろしくおねがいします。 最後にQiitaの記事をまともに書いてから、気づけば3年半が経っていました。光陰矢の如しとはこのことです。 しかし、それ以上に驚いたことがあります。それは、PHP4のリリースから20年が経ったということです。 主流だったPerlを押しのけて、バックエンド開発言語の頂点を目指したPHP4。 ZendEngineの搭載によりPHPのパフォーマンス改善ロードの端緒を開いたPHP4。 私をWebエンジニアの道に導いたPHP4。 そんな伝説のPHP4時代のエンジニアがPHP8のリリースされた現代にきたら、どうなるのでしょうか? 今回はPHP8のリリースに心を踊らせている私のもとに、PHP4.0のリリースに心を踊らせていたAさんが突然現れました。 時代の違い Aさん「あれ?ここは・・・
nginxとPHP-FPMを使用するWebサーバーは、特定の条件下でこの欠陥に対して脆弱です。 背景 10月22日、セキュリティ研究者のOmar Ganiev氏は、PHPのFastCGI Process Manager(FPM)であるPHP-FPMにおける「パッチが適用されたばかり」のリモートコード実行の脆弱性に関するツイートを公開しました。 このツイートには、脆弱性の概念実証(PoC)が公開されたGitHubリポジトリへのリンクが含まれています。 Freshly patched RCE in PHP-FPM:https://t.co/kaVsCStBJx Exploit:https://t.co/VLmhxMWVxo Many nginx+PHP configurations vulnerable, watch out! — BECHED (@ahack_ru) October 22,
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? PHP 8から、PHPは「PHP」と「P++」という2つの言語を提供するようになる というキャッチーな紹介をするP++: 静的型付けをめざすPHPという記事がそれなりに話題になり、このニュースは目覚しく革新的な内容で、多くのひとの目を引き付けました。 これは早まった理解であり、ほとんど誤報と言ってもいい内容でした。2019年8月15日には提案者本人も、少くとも「P++」の計画を短期的に実現するととは非現実的であり時期尚早であることを認めています。 この記事では、PHP開発の現状、なぜ野心的なP++計画が提案され、事実上撤回されたかの経緯
PHP: pplusplus:faq PHP 8から、PHPは「PHP」と「P++」という2つの言語を提供するようになる。P++はPHPとの下位互換性を削りながら除々にPHPを静的型付け言語にする試みだ。 PHP開発者の中には2つの流派がある。PHPの源流であり現在の形である動的型付け言語としてのPHPを良しとする流派と、PHPをより強い静的型付け言語へと発展させたい流派だ。良い悪いの問題ではない。どちらの流派も正当な理由がある。しかし、ゆるふわな動的型付け言語とガチガチの静的片付け言語は同じ一つの言語として同居できない。 そこで、コードネームP++として、PHPを静的型付け言語に発展させる新しい言語の開発が提案された。P++はforkではなく、PHPと同じコードベースを共有する。PHP 8のバイナリはPHPとP++を同時に実装する。言語の切り替えは何らかの宣言によって指定する。 P++は
About This is a home for packaging various software into Debian and Ubuntu. Most notable package under DEB.SURY.ORG is the PHP packaging. Who am I? I am a Debian Developer since year 2000, and I have been packaging PHP for Debian since PHP 5. That means the official packages in Debian and Ubuntu are either my work or they are based on my work. The PHP packages in my Ubuntu PPA and Debian DPA match
関連キーワード PHP | 脆弱性 | Webアプリケーション Webサイト管理者がPHPのバージョンアップに向き合う時が来た 2018年のハロウィーンは終わったが、PHP バージョン5を使っている企業は一年中ホラーな状態に陥っているかもしれない。 PHPはオープンソースのスクリプト言語だ。調査会社W3Techsが最近発表したデータによると、PHPは全Webサイトのうち78.9%で使われており、その内PHP バージョン5を使っているWebサイトは全体の61.6%を占める。だがPHP バージョン5のセキュリティサポートは2018年12月31日で終了する。つまり2019年の年明けからは、PHP バージョン5以前のバージョンを使っている全サイトが、PHPの脆弱(ぜいじゃく)性に関連するセキュリティリスクにさらされる。 セキュリティ専門家は、以前からこの期限が迫っていることを認識していた。実際のと
Home PHPで「mbstring.encoding_translation=On」の時にmultipart/form-dataでPOSTすると文字化けする PHPで「mbstring.encoding_translation=On」の時にmultipart/form-dataでPOSTすると文字化けする 発生する条件 php.iniで以下のように設定されている時に、multipart/form-dataでUTF-8の内容をPOSTすると文字化けすることがある。(application/x-www-form-urlencodedでは文字化けしない) mbstring.encoding_translation = On mbstring.http_input = auto mbstring.internal_encoding = UTF-8 どんな流れで発生しているか? PHPではPOST
最近は結構だいぶひまで、あまりネタがないので小ネタです。 新規サーバ移行に合わせPHP5.3からPHP7へ移行したいという話で、そのテストをしてたときにでたエラーとその対応についてまとめました。 まず、これはPHPの話じゃないんですが、Apacheのバージョンが新しくなったせいで、一部ページで文字化けが発生してたのの対策。 apacheのデフォルト文字コード指定がUTF-8になってると、S-JISとかEUCのページがあったときに化けるのでコメント化します。 Apache 文字化け対策 AddDefaultCharset – CentOSサーバ構築術 文具堂 /etc/httpd/conf/httpd.conf #AddDefaultCharset UTF-8 「Parse error: syntax error, unexpected 'new' (T_NEW)」というエラーが出ていた件対
数年前であれば仕方なかったところですが、2018年の今となっては、パスワードハッシュの手動計算はもはや"悪"です。 まずログイン認証と称してmd5とかsha1とか書いてあるソースはゴミなので投げ捨てましょう。 hashやcryptは上記に比べればずっとマシですが、使い方によっては簡単に脆弱になりえます。 あと『パスワードを暗号化する』って表現してるところも見なくていいです。 PHPには、ハッシュに関わる諸々の落とし穴を一発で解消してくれるpassword_hashという超絶便利関数があるので、これを使います。 というか、これ以外を使ってはいけません。 以下はフレームワークを使わずに実装する際の例示です。 フレームワークを使っている場合は当然その流儀に従っておきましょう。 ハッシュの実装 データベース ユーザ情報を保存するテーブルを作成します。 パスワードカラムの文字数は、システム上のパスワ
2016年11月3日にPHPカンファレンス2016が開催されました。本稿では、ゲストスピーカーである徳丸浩さんのセッション「安全なPHPアプリケーションの作り方2016」についてレポートします。 最近のPHP関連の脆弱性 徳丸さんはセッションを通して、PHP関連の脆弱性の話を取り上げていきました。 Joomla!の事例 Joomla!の権限昇格脆弱性についての話がありました。次の2つの問題を含んでいました。 ユーザ登録時に管理者権限を設定されてしまうという問題 ユーザ登録を許可していない設定にしてもユーザ登録が行えてしまうという問題 徳丸さんはこれらのデモを行い、攻撃の流れを見せました。 原因としては登録のメソッドが2つ存在し、そのうちの一方がユーザ登録許可の設定を確認していないことが問題となっていることを指摘しました。対策としては、開発側は該当メソッドの削除、利用者側はバージョンアップを
2. アジェンダ • 例えば、PHPを避ける • htmlspecialchars 文字エンコーディングチェックの改善 • register_globalsが非推奨に • マジッククォートが非推奨に • 暗号学的に安全な擬似乱数生成器のサポート • セッションID生成の安全性強化 • ヌルバイト攻撃の防御機能の追加 • PDOのDB接続時の文字エンコーディング指定が可能に • header関数のバグ修正 • 安全なパスワード保存が簡単にできるようになった Copyright © 2016 Hiroshi Tokumaru 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計
プライム・ストラテジーは、WordPressの主要なプラグインやテーマをチェックして、PHP実行環境やセキュリティなどの適合状況などを公表する「KUSANAGI Ready プロジェクト」を3月から開始することを、2月29日に発表した。 「KUSANAGI Ready プロジェクト」は、WordPressの主要なプラグインやテーマに関して、 PHP 7、HHVM、PHP 5の言語仕様に適合しているか否か一定のセキュリティルールに適合してるか否か一定の実行速度としてのパフォーマンスを確保できているか否か日本語、英語などの言語対応の状況などをチェックし、一定水準を満たしたプラグインやテーマの一覧を公表していくもの。 また、調査検証の結果、一定水準をクリアできなかった場合でも、修正により改善が見込めるものについては、修正パッチの提供も行っていくとしている。 同プロジェクトでは、3年間で100件ほ
WordPressで利用しているPHP(php-fpm)のバージョンをPHP7.0にバージョンアップしました。環境はUbuntu14.04です。 最近、PHPには触れていないので、かなり高速化されたPHP7.0がリリースされたという噂を聞きつけて、勢いでバージョンアップしてみました。 基本的な作業の流れとしては WordPress及びプラグインのアップデート インストールされているPHP5.x系を削除 PHP7.0系をインストール だけで利用することができました。 以前hhvmでWordPressを動かそうとした時は、利用しているプラグインのキャッシュ周りの処理で躓いてしまってhhvm環境で動かすことを断念しました。PHP7.0環境ではそのような問題もなく、一通り動作しているのを現在確認しています。数日様子を見て、問題なさそうであれば、そのまま稼働させようと思います。 PHP5.x系のアン
正月の書き初めとして、PHP 7 でコードを書いてみました。 年始から始まるプロジェクトで PHP 7 に取り組む予定なので、素振りも兼ねています。実際に書いて感じたことを挙げてみます。 書いたコード 今回書いたのは、Markdown からコードブロックを抜き出して、それぞれをファイルに出力するコードです。 https://github.com/shin1x1/MarkdownCodeExtractor 書いた動機は、Markdown の書籍原稿からコード部分を抜き出して、サンプルコードとして公開するためです。 原稿は最終的には PDF になるので、そこでの修正は手で加える必要があるのですが、大まかにコードをファイルに落とすだけでもかなり楽なので、サクッと作りました。 「Laravel リファレンス 」の私の担当原稿からコードを抜き出したのですが、200 ものコードファイルを一気に生成でき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
