PHP 업데이트

김정균의 이미지

KLDP 시스템의 PHP 가 업데이트 되었습니다. 이번 업데이트는 보안 강화 관련 사항들이 많이 있습니다.

보안 관련 업데이트:

CVE-2008-2665, CVE-2008-2666 보안버그 수정

기능 추가: (이하는 안녕 리눅스의 패치 입니다. official php 에는 없는 기능들 입니다.)

allow_include_extension = .php .inc

PHP engine 에서 등록된 확장자가 아닐 경우 include/require 가 되지 않도록 수정했습니다. 역시나 의도하지 않은 파일을 여는 injection 을 방지하기 위한 기능입니다. 또한, 여기에 등록된 확장자를 가진 파일은 업로드 자체가 되지 않습니다.

upload_image_check      = On
upload_image_check_log  = On

image 에 php code 를 넣어서 공격을 시도하는 것을 차단하기 위하여 image 업로드시에 image 내부에 ascii 문자열을 체크 하여 차단합니다. 문자열 체크 알고리즘은.. 패치를 찾아보세요 :-) 다음의 문자열들은 white list 처리 되어 있습니다.

       <?xpacket begin
       <?xpacket end
       <?adobe-xap
       <?xml

(raw)urlencode/decode 변경

PHP6 부터는 magic_quotes_gpc 가 없어지므로, URL parameter value 에 \0 을 넣어서 urlencode 함수에 null byte 공격을 할 수가 있습니다. 요즘 웹 프로그램들이나 또는 보안 문서에서 sql injection 때문에 mageic_quotes_gpc를 off 시키라고 하기도 합니다. 그래서 urlencode 함수에서 \0 character 를 강제 제거하도록 변경이 되었습니다.

성능 향상:

1. eaccelerator 에서 inode 로 체크하는 부분을 mm 을 이용하도록 변경
2. eaccelerator 에서 매번 mtime 을 체크하는 것을 interval 시간을 두어 I/O 부하 줄임

그 외의 사항에 대해서는 http://annyung.oops.org/?m=update&p=1.3&t=1218807561&n=186 를 참고 하십시오.

역시나 문제가 있다면.. 댓글을 달아 주세요. 보는 즉시 처리하도록 하겠습니다.

관리자 주제: 

댓글

송효진의 이미지

수고하셨습니다.

short_open_tag = off 만을 사용한다는 전제로,
이미지 체크는 <?php 만 체크해도 괜찮을것 같습니다.
드루팔, 제로보드XE 등 요새는 다 <?php 로 하죠?

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

emerge money
http://wiki.kldp.org/wiki.php/FuntooInstallLog - 명령어도 몇 개 안돼요~
http://xenosi.de/

김정균의 이미지

문제는 서버에서 드루팔 제로보드 XE만 사용하는 것이 아니라는 거죠 ^^

Hyun의 이미지

부산경찰청관련 글타래가 첫페이지에는 보이던데 최근글에선 안보이네요. 혹시 이것과 관련한 문제인가요?



나도 세벌식을 씁니다
김정균의 이미지

업그레이드와는 상관이 없을 것 같습니다만, 문제가 발생한다면 php php_error 발생으로 php engine 자체가 멈추게 됩니다.

댓글 달기