For Want Of A Better Word

【PHP】【セキュリティ】【意識低い系】脆弱性への対応大変…全部バージョンアップする必要あるの?

      2015/04/18

今日も来たしPHPの脆弱性。

しかし、しかし、大体稼働中のサービスって簡単にバージョンアップできないよ。
というのが本音。

でも、ほっといて良いという話でもないし。。
どう考えようか。

まぁひとまずどんな脆弱性なら対応が必要で、なになら対応が不要なのか。

アラートで一番多いのはバッファオーバーフロー。
それを例に考える.

[バッファオーバーフローとは]

http://www.atmarkit.co.jp/fsecurity/special/110buffer/buffer05.html

バッファオーバーフローの脆弱性があると、JPCERTのレポートで「悪意の第3者が…」って警告になる。

バッファーオーバーフローって時何がされるかっていうと、
・root権限でのshコマンド実行。
・それに伴いサービスのダウンや情報の盗難。

という所か。

バージョンアップ出来れば一番いいけど、そうで無いときは、

①対応有無確認。

→Cangelogから、[buffer-overflow in…]となっている奴を見つけて、該当のコマンドを使っているか確認する。

無ければ対応不要とする。

②使っていたら
どこで使われているものか確認して、外部からの入力を渡すものでなければOKとする。

③外部からの入力を渡しているよ….

※先の最悪の事態と、コストを天秤にかけて、対策を講じる。

→ サードパーティー製品だったら、バージョンアップに期待。
お手製だったら作りを変える。

④できなかったら…

諦めてPHPのバージョンアップ。

か、

重要なデータはバックアップして、秘密データは暗号化して、脆弱性とともに暮らす。

下記ぐらいの準備と覚悟と心意気があれば大丈夫かな?
・root奪われて、データ全部消されても、バックアップがあるから大丈夫。
・サービスが落ちても、復旧までの時間は大丈夫。
・データDBに入ってまた別の認証かけているし、最悪見られても暗号化してるぜ。
・予定外の改竄は検知できる!
・失った利益・信頼、迷惑かけた損害、は取り戻せる!

とかね。個人情報持ってなくて、リアルタイム性を要求されるようなサービスで無ければ、損するのは自分の所だけなので、覚悟は決められるかな。

迷惑かけるスパム埋め込みとか、メール送りまくりとか、はどうすべかが課題か。

<補足>
前提としてPHPのサポートから除外される場合はアップデートした方がよいよね。脆弱性情報が来ないもん。php5.3とか外れている、こまったなぁと思っていたけど、
cent5/6上のphp5.3はredhutさんがサポート2020までしてくれるとのこと。
有難い。

http://fnya.cocolog-nifty.com/blog/2013/12/centos-6-2020-1.html

<補足2>
“安全なPHPを使っていますか? – PHPバージョンアップとの付き合い方を考える”
http://blog.asial.co.jp/1349
PHPの後方互換はほぼ大丈夫よっとも書いている。。
悩むならやった方がよいのかも。

ただ、パッチの管理はベンダーに任せたいので、手動でビルドはもうやめたほうが良さそうだわ。

と、思った。

 - php, セキュリティ

  関連記事

lgi01a201309210900
Googleのクロスサイトスクリプティング勉強ページに挑戦

https://xss-game.appspot.com/ むむむ、なんとかLe …

mysql-logo
mysqlnd

PHP5および6用のMySQLのネイティブドライバです。 mysqliで利用して …

cakephp_logo
【Cake】【PHP】Modelでデータ取得まわりメモ

普通のfind() 条件付きfindsort paginate()で条件付き f …

php-logo
【PHP】php5.5にしたらMongoが動かない。PearでアップデートしようとしたらArchive_Tarが動かない。

Archive_Tarが動かないから、Archive_Tar自体も更新出来ない。 …

php-logo
PHP ラムダ クロージャーとはなんぞや

http://www.ibm.com/developerworks/jp/ope …