For Want Of A Better Word

【PHP】【セキュリティ】【意識低い系】脆弱性への対応大変…全部バージョンアップする必要あるの?

      2015/04/18

今日も来たしPHPの脆弱性。

しかし、しかし、大体稼働中のサービスって簡単にバージョンアップできないよ。
というのが本音。

でも、ほっといて良いという話でもないし。。
どう考えようか。

まぁひとまずどんな脆弱性なら対応が必要で、なになら対応が不要なのか。

アラートで一番多いのはバッファオーバーフロー。
それを例に考える.

[バッファオーバーフローとは]

http://www.atmarkit.co.jp/fsecurity/special/110buffer/buffer05.html

バッファオーバーフローの脆弱性があると、JPCERTのレポートで「悪意の第3者が…」って警告になる。

バッファーオーバーフローって時何がされるかっていうと、
・root権限でのshコマンド実行。
・それに伴いサービスのダウンや情報の盗難。

という所か。

バージョンアップ出来れば一番いいけど、そうで無いときは、

①対応有無確認。

→Cangelogから、[buffer-overflow in…]となっている奴を見つけて、該当のコマンドを使っているか確認する。

無ければ対応不要とする。

②使っていたら
どこで使われているものか確認して、外部からの入力を渡すものでなければOKとする。

③外部からの入力を渡しているよ….

※先の最悪の事態と、コストを天秤にかけて、対策を講じる。

→ サードパーティー製品だったら、バージョンアップに期待。
お手製だったら作りを変える。

④できなかったら…

諦めてPHPのバージョンアップ。

か、

重要なデータはバックアップして、秘密データは暗号化して、脆弱性とともに暮らす。

下記ぐらいの準備と覚悟と心意気があれば大丈夫かな?
・root奪われて、データ全部消されても、バックアップがあるから大丈夫。
・サービスが落ちても、復旧までの時間は大丈夫。
・データDBに入ってまた別の認証かけているし、最悪見られても暗号化してるぜ。
・予定外の改竄は検知できる!
・失った利益・信頼、迷惑かけた損害、は取り戻せる!

とかね。個人情報持ってなくて、リアルタイム性を要求されるようなサービスで無ければ、損するのは自分の所だけなので、覚悟は決められるかな。

迷惑かけるスパム埋め込みとか、メール送りまくりとか、はどうすべかが課題か。

<補足>
前提としてPHPのサポートから除外される場合はアップデートした方がよいよね。脆弱性情報が来ないもん。php5.3とか外れている、こまったなぁと思っていたけど、
cent5/6上のphp5.3はredhutさんがサポート2020までしてくれるとのこと。
有難い。

http://fnya.cocolog-nifty.com/blog/2013/12/centos-6-2020-1.html

<補足2>
“安全なPHPを使っていますか? – PHPバージョンアップとの付き合い方を考える”
http://blog.asial.co.jp/1349
PHPの後方互換はほぼ大丈夫よっとも書いている。。
悩むならやった方がよいのかも。

ただ、パッチの管理はベンダーに任せたいので、手動でビルドはもうやめたほうが良さそうだわ。

と、思った。

 - php, セキュリティ

  関連記事

mysql-logo
【PHP】【DB開発メモ】PDOの検索結果からHTML&amp;lt;table&amp;gt;の作成

resultから項目名でthを作って、valueでtdを作る処理。 ざっくり表示 …

wordpress_logo
WordPressで作ったページと同じデザインで、好きなコンテンツを好きな場所に作りたい

下記のわがままをかなえるため、調査 そもそも、wordpressでブログを作った …

centos_logo
古いバージョンのPHP環境の作り方

windows xamppの古いバージョンをインストールしてあげるのが一番簡単。 …

php-logo
【PHP】【Tips】foreachで配列の値を変更するときに参照渡しを利用すると便利!

いまさらだけど、便利だった。 多次元配列で特定項目を一様に編集したい時とか。 デ …

lgi01a201309210900
【OpenVAS】CentOS6.5へのインストールと使い方

チャレンジ。 http://knowledge.sakura.ad.jp/tec …