月別アーカイブ: 2015年3月

JVN: 複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題

複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメインの管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。続きを読む

JVN: ANTlabs 製 InnGate の複数のモデルにおいて認証なしでファイルシステムへの読書きが可能な脆弱性

ANTlabs 製 InnGate は、Visitor Based Network (ホテルの宿泊客向けネットワークなど) を運用するためのゲートウェイ機器です。InnGate の複数のモデルおよび複数のバージョンのファームウェアには、遠隔の攻撃者が、設定の不適切な <code>rsync</code> デーモンを通じて、認証なしで機器のファイルシステムに対する読書きが可能な脆弱性が存在します。続きを読む

JVN: ANTlabs 製 InnGate の複数のモデルにおいて認証なしでファイルシステムへの読書きが可能な脆弱性

ANTlabs 製 InnGate は、Visitor Based Network (ホテルの宿泊客向けネットワークなど) を運用するためのゲートウェイ機器です。InnGate の複数のモデルおよび複数のバージョンのファームウェアには、遠隔の攻撃者が、設定の不適切な <code>rsync</code> デーモンを通じて、認証なしで機器のファイルシステムに対する読書きが可能な脆弱性が存在します。続きを読む

JVN: TERASOLUNA Server Framework for Java(WEB) の Validator に入力値検査回避の脆弱性

株式会社エヌ・ティ・ティ・データが提供する TERASOLUNA Server Framework for Java(WEB) は、ウェブアプリケーションを作成するためのソフトウェアフレームワークです。TERASOLUNA Server Framework for Java(WEB) は、Apache Struts 1.2.9 を利用しているため、Apache Struts 1 の Validator に存在する脆弱性の影響を受けます。続きを読む

PHP 5.6.7 is available

The PHP development team announces the immediate availability of PHP 5.6.7. Several bugs have been fixed as well as CVE-2015-0231, CVE-2015-2305 and CVE-2015-2331. All PHP 5.6 users are encouraged to upgrade to this version.

For source downloads of PHP 5.6.7 please visit our downloads page, Windows binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 5.5.23 is available

The PHP development team announces the immediate availability of PHP 5.5.23. Several bugs have been fixed as well as CVE-2015-0231, CVE-2015-2305 and CVE-2015-2331. All PHP 5.5 users are encouraged to upgrade to this version.

For source downloads of PHP 5.5.23 please visit our downloads page, Windows binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 5.4.39 Released

The PHP development team announces the immediate availability of PHP 5.4.39. Six security-related bugs were fixed in this release, including CVE-2015-0231, CVE-2015-2305 and CVE-2015-2331. All PHP 5.4 users are encouraged to upgrade to this version.

For source downloads of PHP 5.4.39 please visit our downloads page, Windows binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP Tour Luxembourg

For the first time, the PHP Tour will take place outside of France: AFUP and the locale branch of Luxembourg will welcome you at the Abbey of Neumünster, a historical venue in the heart of Luxembourg City. English speakers? Come and join us, many talks will be proposed in english.

AFUP, The French PHP usergroup, is glad to announce that the fourth edition of the PHP Tour will be held in Luxembourg City on May 12 & 13, 2015. PHP experts will share their advanced knowledge and experience with developers, decision makers and companies, during keynotes, sessions and workshops.

This year, just around the corner of Amazon and Microsoft offices, the event will be partly focused on the theme "PHP & the Cloud": tools, continuous integration, security, costs... But of course, a lot of talks will be about PHP itself, innovation and improvement. Julien Pauli, Thibaut Lenclos, Wim Godden, Oswald de Riemaecker and François Zaninotto are the first speakers confirmed for the event. Who will join this dream team? Stay tuned to discover the program in the next few days. Presentation length is 45 minutes which includes question time. 3 hours workshops with limited audience are planned on Wednesday.

Still not convinced? This year, we celebrate PHP's 20th birthday, and AFUP's 15th birthday: book your ticket right now, and come to party with us! You’ve got your ticket ? Please book your hotel room as soon as possible : there are not so many hotels in Luxembourg-City, and May is a busy period in town.

Italian phpDay 2015

The Italian PHP user group GrUSP is pleased to announce the 12th edition of the Italian phpDay (http://www.phpday.it/) conference, taking place on May 15th and 16th, 2015 in Verona.

phpDay is the first historic Italian conference dedicated solely to PHP development, technologies and management. It is aimed to IT managers, developers and innovators. Each year it renews the opportunity to link to new business partners.

JVN: Telerik Analytics Monitor ライブラリに DLL ハイジャックが可能な脆弱性

Telerik Analytics Monitor ライブラリは、アプリケーション使用に関するメトリクス情報を収集するためのアプリケーション使用解析サービスです。特定のバージョンの Telerik Analytics Monitor ライブラリには、DLL ハイジャックが可能な脆弱性が存在するため、ライブラリを実装するアプリケーションのコンテキストで任意のコードをロードさせられる可能性があります。続きを読む

JVN: SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)

SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃 (man-in-the-middle attack) が行われると、暗号化に使われている鍵を解読され、SSL/TLS トラフィックの内容を復号される可能性があります。これは「FREAK 攻撃」とも呼ばれています。続きを読む