PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
電子パスポートをハッキング、読み取り機への攻撃が可能に | WIRED VISION
電子パスポートをハッキング、読み取り機への攻撃が可能に 2007年8月 7日 ハッキング コメント: トラックバック (0) Kim Zetter 2007年08月07日 RFIDの専門家Lukas Grunwald氏は、電子パスポート読み取り機は破壊攻撃に対して脆弱だと話す。 Photo: Courtesy of Kim Zetter 電子パスポートに搭載されたコンピューター・チップが複製できることを2006年に実証したドイツのセキュリティー研究者が、このたび、電子パスポートとその読み取りシステムに、さらなる設計上の脆弱性があることを明らかにした。 ドイツ連邦議会の電子パスポート・コンサルタントを務めるLukas Grunwald氏は、このセキュリティー上の欠陥を利用すれば、生体認証技術を利用した電子パスポートに保存されている指紋画像を取得して複製し、それに特殊なコードを仕込んだチップを
えび日記: CSRFの説明に追記 - こめんと (2006-03-30)
■ [Security] えび日記: CSRFの説明に追記 (4/2、この項に別記事で追記。) ええと、この議論はずっと続いていますね。こういう時間かかる話はできれば年度明けてからやろうよ(笑)。 ※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。 (「えび日記」より引用) この脆弱性の存在を根拠に「いわゆる高木方式は良くない、安全な他の方式にすべきである」という議論がよくあります。 いつも反論してるのですが、割と議論が噛み合わないのは、ひょっとしたら僕が「いや、高木方式で安全なんだ」と 主張しているように思われているのかなぁ、とふと感じました。 実はそうじゃないんですよね。僕の主張は、「い
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
