JVN#50327700: PHP におけるクロスサイトスクリプティングの脆弱性

PHP 5.2.7 およびそれ以前 PHP の設定で display_errors=off である場合は、この問題の影響を受けません。 また、PHP 5.3.0alpha は、本脆弱性の影響を受けません。 PHP は、ウェブサーバに適したオープンソースのスクリプト言語およびその実行環境です。 PHP には、エラーの処理が不適切なため、クロスサイトスクリプティングの脆弱性が存在します。

[shimooka]

↓php5.3.0alpha4-devでもダメだった。回避方法はdisplay_errors=offしかなさそう？

[masatsune]

xss

[co3k]

んー？　チェンジログを見る限り5.2.8 とか 5.2.7 とかでこの脆弱性の対処をした形跡が見られないんだけど。5.1.2 の 「Fixed possible XSS inside error reporting functionality. 」の間違いだったりしないの？

[ya--mada]

ほえ。どういった方法なんだろ。/ここ以外にアナウンスしてるとこってあるかな。/http://www6.atpages.jp/mgngmgng/top/date/20081224これなの？コレを脆弱性というの？ウソだろもっと違う穴があったんだろ？

[cocoiti]

そもそもエラーメッセージ出す時点で脆弱じゃないかとこいｔ（ｒｙ

[hnw]

そもそも報告者が5.2.7で再現性を確認したかどうか疑問。掲載時のミスかもしれないけど、5.2.7→5.2.8でほとんど何も変わってないはず。

[koyhoge]

display_errorsかー。運用でそれをonにするケースは考えられないけど。