php

2つのセキュリティ上の問題

リリース日付 : 2002-12-04

対策パッケージ : php-4.1.2-14

問題点
・　phpのCRLFコードを読み込む処理にクロス・サイトスクリプトの問題が存在します。
・　phpのmail関数の脆弱性を利用され、不正にメールコマンド等を実行される可能性があります。

対策
turbopkgコマンドを使用して自動アップデートを行ってください。
必要がある場合のみ、自動的にアップデートが行われます。

現在インストールされているパッケージのバージョンは、次のコマンドで
確認することができます。

# rpm -qa | grep パッケージ名

自動アップデートを使用すると、現在インストールされているものよりも
新しいパッケージは全てアップデート対象になります。
パッケージを選択してアップデートを行いたい場合には、rpmコマンドを
使用してください。

実行例
---------------------------------------------------------------------
1. スーパーユーザーに変更
$ su -

2. スーパーユーザーのパスワードを入力
Password:

3. turbopkgの起動
# turbopkg

4. メニューを選択
「アップデート」
　　　↓
「FTP サーバー」
　　　↓
「アップデートサイト」
　　　↓
任意のサイトを選択

5. 一般ユーザーに変更
# exit
---------------------------------------------------------------------

<Turbolinux 8 Server>

・　本問題は、該当しません。

<Turbolinux 8 Workstation>

　php-4.1.2-14.i586.rpm
　php-gd-4.1.2-14.i586.rpm
　php-imap-4.1.2-14.i586.rpm
　php-ldap-4.1.2-14.i586.rpm
　php-manual-4.1.2-14.i586.rpm
　php-ming-4.1.2-14.i586.rpm
　php-mysql-4.1.2-14.i586.rpm
　php-pgsql-4.1.2-14.i586.rpm

<Turbolinux 7 Server>
<Turbolinux 7 Workstation>

　php-4.1.2-14.i586.rpm
　php-imap-4.1.2-14.i586.rpm
　php-ldap-4.1.2-14.i586.rpm
　php-manual-4.1.2-14.i586.rpm
　php-mysql-4.1.2-14.i586.rpm
　php-pgsql-4.1.2-14.i586.rpm

<Turbolinux Server 6.5>
<Turbolinux Advanced Server 6>

　php-3.0.18-15jaJP.i386.rpm
　php-imap-3.0.18-15jaJP.i386.rpm
　php-ldap-3.0.18-15jaJP.i386.rpm
　php-manual-3.0.18-15jaJP.i386.rpm
　php-mysql-3.0.18-15jaJP.i386.rpm
　php-pgsql-3.0.18-15jaJP.i386.rpm

<Turbolinux Server 6.1>

　php-3.0.18-15jaJP.i386.rpm
　php-ldap-3.0.18-15jaJP.i386.rpm
　php-manual-3.0.18-15jaJP.i386.rpm
　php-mysql-3.0.18-15jaJP.i386.rpm
　php-pgsql-3.0.18-15jaJP.i386.rpm

<Turbolinux Workstation 6.0>

＊　上記製品には4系のphpパッケージを収録していないためアップデートの必要はありません。