「WordPressで学ぶPHP(4)通信編」を発売しました。
本書は、「WordPressで学ぶPHP(1)変数・制御構造編」「WordPressで学ぶPHP(2)データ構造編」「WordPressで学ぶPHP(3)関数編」の続編にあたり、Webブラウザとサーバー(PHP)との通信と、PHPから他のサーバーに通信することについて解説します。
再構築不要化カスタマイズ(セキュリティホール修正)
2005年12月19日 MySQL/PostgreSQL/SQLite全対応版を公開しました。こちらをお使いください。
先日ご紹介した「再構築を不要にするカスタマイズ」に、セキュリティホールがありました。大変申し訳ございませんでした。
修正版を作りましたので、このカスタマイズをお使いの方は、お手数ですが差し替えをお願いいたします。
セキュリティホールの内容は、以下のようなものです。
●条件
以下の条件を満たしている場合に、セキュリティホールが起こりえます。
・BlogをPHP化していいる
・テンプレート内のPHPのスクリプトに、パスワード等の人に見られては困る情報を入れている
●セキュリティホールの内容
mt-dynamic.phpの動作を真似てmt-dynamic.cgiを直接に呼び出すことで、PHPを実行する前のソースを表示することができ、PHPのスクリプト内のパスワード等が漏れます。
上記の条件に該当する方はほとんどいないと思いますが、念のために修正しておいていただけますようお願いします。
修正版の導入手順は以下の通りです。
●1.カスタマイズを行う
「再構築を不要にするカスタマイズ」のエントリーの通りの手順で、カスタマイズを行います。
なお、すでにカスタマイズ済みの方は、mt-dynamic.cgiとmt-dynamic.phpを差し替えるだけでOKです。
●2.「phptemp」ディレクトリを作成する
Blogの出力先ディレクトリの中に、「phptemp」というディレクトリを作り、そのパーミッションを707に設定します。
