PHP 업데이트

글쓴이: 김정균 / 작성시간: 토, 2008/10/18 - 1:50오전

KLDP 시스템의 PHP 가 업데이트 되었습니다. 이번 업데이트는 보안 강화 관련 사항들이 많이 있습니다.

보안 관련 업데이트:

CVE-2008-2665, CVE-2008-2666 보안버그 수정

기능 추가: (이하는 안녕 리눅스의 패치 입니다. official php 에는 없는 기능들 입니다.)

allow_include_extension = .php .inc

PHP engine 에서 등록된 확장자가 아닐 경우 include/require 가 되지 않도록 수정했습니다. 역시나 의도하지 않은 파일을 여는 injection 을 방지하기 위한 기능입니다. 또한, 여기에 등록된 확장자를 가진 파일은 업로드 자체가 되지 않습니다.

upload_image_check      = On
upload_image_check_log  = On

image 에 php code 를 넣어서 공격을 시도하는 것을 차단하기 위하여 image 업로드시에 image 내부에 ascii 문자열을 체크 하여 차단합니다. 문자열 체크 알고리즘은.. 패치를 찾아보세요 :-) 다음의 문자열들은 white list 처리 되어 있습니다.

       <?xpacket begin
       <?xpacket end
       <?adobe-xap
       <?xml

(raw)urlencode/decode 변경

PHP6 부터는 magic_quotes_gpc 가 없어지므로, URL parameter value 에 \0 을 넣어서 urlencode 함수에 null byte 공격을 할 수가 있습니다. 요즘 웹 프로그램들이나 또는 보안 문서에서 sql injection 때문에 mageic_quotes_gpc를 off 시키라고 하기도 합니다. 그래서 urlencode 함수에서 \0 character 를 강제 제거하도록 변경이 되었습니다.

성능 향상:

1. eaccelerator 에서 inode 로 체크하는 부분을 mm 을 이용하도록 변경
2. eaccelerator 에서 매번 mtime 을 체크하는 것을 interval 시간을 두어 I/O 부하 줄임

그 외의 사항에 대해서는 http://annyung.oops.org/?m=update&p=1.3&t=1218807561&n=186 를 참고 하십시오.

역시나 문제가 있다면.. 댓글을 달아 주세요. 보는 즉시 처리하도록 하겠습니다.

관리자 주제:

공지

댓글 달기

수고하셨습니다. short

글쓴이: 송효진 / 작성시간: 토, 2008/10/18 - 3:36오전

수고하셨습니다.

short_open_tag = off 만을 사용한다는 전제로,
이미지 체크는 <?php 만 체크해도 괜찮을것 같습니다.
드루팔, 제로보드XE 등 요새는 다 <?php 로 하죠?

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

https://xenosi.de/

답글

문제는 서버에서

글쓴이: 김정균 / 작성시간: 토, 2008/10/18 - 3:43오전

문제는 서버에서 드루팔 제로보드 XE만 사용하는 것이 아니라는 거죠 ^^

답글

부산경찰청관련

글쓴이: Hyun / 작성시간: 토, 2008/10/18 - 9:32오전

부산경찰청관련 글타래가 첫페이지에는 보이던데 최근글에선 안보이네요. 혹시 이것과 관련한 문제인가요?

답글

업그레이드와는

글쓴이: 김정균 / 작성시간: 일, 2008/10/19 - 12:21오전

업그레이드와는 상관이 없을 것 같습니다만, 문제가 발생한다면 php php_error 발생으로 php engine 자체가 멈추게 됩니다.

답글

댓글 달기

이름

이메일

이 필드의 내용은 비밀로 유지되며, 공개되지 않습니다.

홈페이지

제목

댓글 *

텍스트 포맷에 대한 자세한 정보

텍스트 양식

Filtered HTML

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
You can use Textile markup to format text.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
Quick Tips:
- Two or more spaces at a line's end = Line break
- Double returns = Paragraph
- *Single asterisks* or _single underscores_ = Emphasis
- **Double** or __double__ = Strong
- This is [a link](http://the.link.example.com "The optional title text")
For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

HTML 태그를 사용할 수 없습니다.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
줄과 단락은 자동으로 분리됩니다.

CAPTCHA

이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.

부 메뉴

PHP 업데이트

댓글

수고하셨습니다. short

문제는 서버에서

부산경찰청관련

업그레이드와는

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

둘러보기

부 메뉴

현재 위치

PHP 업데이트

댓글

수고하셨습니다. short

문제는 서버에서

부산경찰청관련

업그레이드와는

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

검색 폼

둘러보기

사용자 로그인

Oauth2 Login :