[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48497] Re: php4 は testing/unstable から削除されます(Re: [Translate] [SECURITY] [DSA 1282-1] New php4 packages fix several vulnerabilities



小林です。

From: Hideki Yamane
Subject: [debian-users:48496] php4 は testing/unstable から削除されます(Re: [Translate] [SECURITY] [DSA 1282-1] New php4 packages fix several vulnerabilities
Date: Sat, 28 Apr 2007 02:08:54 +0900

> 
>  やまねです。
> 
> On Fri, 27 Apr 2007 23:00:49 +0900
> Seiji Kaneko <skaneko@xxxxxxxxxxxx> wrote:
> > 不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
> > ジョン 4.4.6-1 で修正されています。php4 は sid から削除予定ですので、不安
> > 定版 (unstable)を使い続けたい場合には、php5 に移行することを強く勧めます。
> 
>  この点について注意喚起がでています。testing/unstable では php4 は
>  削除予定です。依存しているパッケージを使っているかたは動向に注意
>  ください。もしそのようなパッケージのメンテナである場合は php5 を
>  使って動作するように変更ください。
> 
>  詳しくは
>  http://lists.debian.org/debian-devel/2007/04/msg00816.html 参照。

ちなみに PHP のセキュリティについては他にも問題があります。
etch のリリースノート
http://www.debian.org/releases/etch/i386/release-notes/ch-information.ja.html#s-php-globals
には次のようにあるので参考にしてください。


5.10 安全でない php の設定の非推奨化

長年、PHP で register_globals の設定をオンにすることは安全でなく危険であるとわ
かっており、このオプションはこれまでかなりの期間、デフォルトではオフになってい
ました。この設定が、あまりにも危険であるとして、ついに Debian システムでは非推
奨となりました。同様のことが safe_mode と open_basedir の欠陥にも当てはまります
。これらの欠陥はやはり、かなりの期間メンテナンスされていません。

本リリース以降、Debian セキュリティチームは、安全でないとわかっている PHP の多
数の設定についてはセキュリティサポートを提供しません。最も重大なのは、
register_globals がオンになっているために生じる問題への対処は、もはやなされない
ということです。

register_globals を必要とする旧式のアプリケーションを実行する場合は、例えば
Apache の設定ファイルを用いて、該当する各パスのみに対してこの設定を有効にしてく
ださい。さらに詳しい情報は、PHP の付属文書のディレクトリ (/usr/share/doc/php4
や /usr/share/doc/php5) に含まれている README.Debian.security ファイルで入手可
能です。

-- 
|:  Noritada KOBAYASHI
|:  Dept. of General Systems Studies,
|:  Graduate School of Arts and Sciences, Univ. of Tokyo
|:  E-mail: nori1@xxxxxxxxxxxxxxxxxxxxxxx (preferable)
|:          nori@xxxxxxxxxxxxxxxxxxx
|:  Key fingerprint = AB26 9533 81DA 997B 3C06  4380 19BB ADA0 695C 9F53