ARMA
           ARMA Net           製品とサポート           通信販売           会社概要           求人情報       
ARMA 3.0

ARMA 3.0 マニュアル

プレインストール PC

個人・小規模サイト
向けサポート
(パッケージ付属)


よくいただくお問い
合わせについて


対応ハードウェア情報

法人向け各種サービス

 OSA-2002-6
 
 
 1 サマリ
 
 
 
 
対象システム
OGL1.x,ARMA2.1
 
 
 
パッケージ
php4
 
 
 
概要
CRLFの不正な挿入
 
 
 
危険度
2
 
 
 
 
 2 詳細
 
 PHP の一部の関数に文字列中にCRLFを不正に挿入できる脆弱性が発見されました。
 PHP では allow_url_fopen ディレクティブを設定することで fopen, file などの関数を用いて任意のURLからリソース取得できるようになります。攻撃者がURL部分にCRLF+任意の文字列を続けて記述した場合に指定した URL に任意のヘッダを送出されてしまう可能性があります。
 mail関数にも文字列中にCRLFを不正に挿入できる脆弱性が報告されています。攻撃者がメイル本文,もしくはサブジェクトに続けて CRLF+任意の文字列を記述することでメイルに任意のヘッダを記述される可能性があります。またmail関数には PHP を Safe Mode で実行中の場合でも sendmail に任意の引数を渡せるという問題が報告されています。
 関連URL
 
 
 
 
 
 
 
 
 3 対処方法
 
 ARMA2.1では php4-4.2.3-3o100 でこの問題を修正しています。ARMA2.1をご利用でphp4をインストールされたユーザー様はapt-getコマンドにて以下のパッケージをインストールして下さい。
 
 
php4
 
 
php4-cgi
 
 
php4-curl
 
 
php4-dev
 
 
php4-domxml
 
 
php4-gd
 
 
php4-imap
 
 
php4-ldap
 
 
php4-mcal
 
 
php4-mhash
 
 
php4-mysql
 
 
php4-odbc
 
 
php4-pear
 
 
php4-recode
 
 
php4-snmp
 
 
php4-sybase
 
 
php4-xslt
 
 
 OGL1.xをご利用でphp4をインストールされたユーザー様は下記のURLよりDebian Potato版をインストールして下さい。
 ARMA2.0にはphp4パッケージは含まれません。
 
 

COPYRIGHT (C)2018, オモイカネ株式会社 (Omoikane Inc.)
E-mail: info@omoikane.co.jp