詳細およびダウンロード このパッケージ(Hotfix)は、セッションクラスタリング機能のセキュリティ強化を目的としています。 Hotfixの概要 --------------- Zend Platform のセッションクラスタリング機能にセキュリティ上の問題点が発見 されました。この問題点は、Zend Platform v2.2.1 (日本語では未リリース)にて 解消されました。このパッケージのモジュールによって、問題点を解消できます。 Hotfixの内容 --------------- パッケージは、以下のような構造を持つ圧縮ファイルです。 /README /bin/ZendSessionManager /lib/SC-1.0.2/php-4.3.x/mod_cluster.so php-4.4.x/mod_cluster.so php-5.0.x/mod_cluster.so php-5.1.x/mod_cluster.so Hotfixの対応範囲 -------------------- このパッケージは、 Zend Platform v 2.1, 2.2.x の以下のOS環境を対象に しています。 Linux x86 Linux x86-64 Solaris Sparc 8, 9, 10 Solaris x86 9, 10 FreeBSD x86 5.4, 6.x Mac OS X Power 10.4 注意:このパッケージは、Zend Platform のセッションクラスタリング機能を 使用している場合のみ適用してください。 なお、Zend Platform の Windows版(ベータリリース中)には対応していません。 セッションクラスタリング機能を使用しているか確認方法 ----------------------------------------------- Zend Platform のコンソール(Webブラウザよりアクセス)より、「phpinfo」の 出力結果を参照してください。 {session} セクションの[session.save_handler]項目が "files" の場合には、 セッションクラスタリング機能を使用していません。 "cluster"の場合には、セッションクラスタリング機能を使用しています。 インストール手順 ------------ 1) Webサーバを停止します。 2) セッションクラスタリングデーモンを以下のコマンドで停止します。 /bin/scd.sh stop. 3) パッケージを解凍します。以下のようなファイルが展開されます。 bin/ZendSessionManager lib/SC-1.0.2/php-4.3.x/mod_cluster.so php-4.4.x/mod_cluster.so php-5.0.x/mod_cluster.so php-5.1.x/mod_cluster.so 4) Zend Platform のインストールディレクトリ内のファイルを 上記のファイルに置きかえます。 5) 以下のコマンドにてセッションクラスタリングデーモンを起動します。 /bin/scd.sh start 6) Webサーバを起動します。 Hotfix 対応情報 ------------------ このパッケージは、セッションクラスタリングに関するセキュリティの問題点に 対応しています。セッションクラスタリング機能を使用している全てのユーザに 推奨いたします。 1) 無効な Session ID による脆弱性への対応 2) 長いセッションキーによるZendSessionManagerのバッファオーバーフローへの対応 3) 長いセッションキーによるmod_clusterのバッファオーバーフローへの対応 4) 権限の無いセッションファイルへの攻撃(書き込み)に関するバグ対応(ZendSessionManager) 5) 権限の無いセッションデータへの攻撃(読み込み)に関するバグ対応(ZendSessionManager) 6) セッションデータへのPHPコードの書き込みによる攻撃(PHP 4.4.3 から 5.1.4)に関する バグ対応(ZendSessionManager) README-E.txt README.txt ZendPlatform-2.2.1-hotfix-freebsd5.4-i386.tar.gz ZendPlatform-2.2.1-hotfix-freebsd6.0-i386.tar.gz ZendPlatform-2.2.1-hotfix-linux-glibc21-i386.tar.gz ZendPlatform-2.2.1-hotfix-linux-glibc23-i386.tar.gz ZendPlatform-2.2.1-hotfix-linux-glibc23-x86_64.tar.gz ZendPlatform-2.2.1-hotfix-Mac_OS_X_POWER.tar.gz ZendPlatform-2.2.1-hotfix-sunos5.8-sparc.tar.gz