Moon:7.8[弓張月(上弦)]
うちの子の限って
WP にセキュリティーホールが見つかっています。 サーバ設定が特定の条件の場合のみで、また既に otsukare さんよりパッチがでていますので、該当の方はあわてず騒がず適応すると良いと思います。
WordPress Japan DB >> 暫定ファイルのリリース
PHP の設定 “register_globals” が On の場合のみ脆弱となります。
例として http://www.example.com/example.php?a=1&b=2 というURL(このURL自体は架空のものである)にアクセスし、サーバwww.example.com上のexample.phpを呼び出すとする。このとき、example.phpの動作開始時の状態はregister_globalsの設定によって変化する。
register_globals=off の設定では、example.phpの動作が開始される段階で、PHPの配列変数 $_GET[‘a’]と$HTTP_GET_VARS[‘a’]が1,$_GET[‘b’]と$HTTP_GET_VARS[‘b’]が2という内容に初期化された状態になっている。
register_globals=on の設定では、さらにPHPの変数$aが1,$bが2に初期化された状態になっている。
register_globals か~と思ってここのサーバ見たら”ON” (;´Д`)
PHP 4.3 なので、互換性のためにわざわざ ON にしているのですね・・・。 いまだに有名どころで register_globals 使うスクリプト あるんかな、、
うちの子に限って、とはよく言ったものです。 🙂
このブログで関連すると思われる他の投稿
From: tagigo - 2005/8/14 Sunday
(Comment)
おぉ、WPセキュリティホールですか!
情報ありがとうございます。
早速、入れ替えました。
From: ひろまさ - 2005/8/14 Sunday
(Comment)
こんにちは。 🙂
日本からの攻撃はあまりないと思いますが、パッチあてといたほうがいいですね! (先日別件で海外からアタックが来ていました…)