スマートフォン用の表示で見る

【年間ランキング6年連続受賞】!【イージャパンモール】 トップラベラー 1YS-8S-D 【返品·交換·キャンセル不可】 1YS-8S-D ★まとめ買い★新盛インダストリ 文具、ステーショナリー 【イージャパンモール】 :010-00038889:eジャパン ×10個 1YS-8S-D (LE-173)-その他筆記用具





  • 商品情報

    【検索キーワード(商品内容を保障するものではありません)】事務用品 マネー関連品?店舗用品 マネー関連品?店舗用品

    商品説明

    【年間ランキング6年連続受賞】!【イージャパンモール】 トップラベラー 1YS-8S-D 【返品·交換·キャンセル不可】 1YS-8S-D ★まとめ買い★新盛インダストリ 文具、ステーショナリー 【イージャパンモール】 :010-00038889:eジャパン ×10個 1YS-8S-D (LE-173)-その他筆記用具
    TORIPIYO DIARY recent event, IoT, programming, infrastructure topics
    【年間ランキング6年連続受賞】!【イージャパンモール】 トップラベラー 1YS-8S-D 【返品·交換·キャンセル不可】 1YS-8S-D ★まとめ買い★新盛インダストリ 文具、ステーショナリー 【イージャパンモール】 :010-00038889:eジャパン ×10個 1YS-8S-D (LE-173)-その他筆記用具 CentOSのパッケージとセキュリティ

    CentOS のパッケージのバージョンとセキュリティの関係について、いままであまりちゃんと調べてなかったので確認してそこそこまとめました。CentOS6で、 CentOS 公式のbaseレポジトリから php をインストールすると php のバージョン5.3がインストールされます。php5.3は PHP の開発元では2014年の8月14日にEOLを迎えています。

    PHP: Unsupported Branches

    この情報のみでは、CentOS6では開発が終わっているバージョンの php を配布しているようにみえてセキュリティ的に心配になりますが、 CentOS のクローン元である RedHat は、セキュリティの修正に対してバックポートポリシーを採用しています。

    Security Backporting Practice - Red Hat Customer Portal

    これはどういうことかというと、セキュリティの 脆弱性 が発見された際、ソフトウェアのバージョンを上げて修正するのではなくて、セキュリティの修正箇所を既存のバージョンにインポートさせるという運用のようです。こうすることで、バージョンが上がることで生じる互換性の問題を可能な限りなくしてセキュリティの穴を塞ぐことが出来ます。ということで、CentOS6のPHP5.3にもセキュリティパッチが提供されています。 php パッケージの変更履歴を見ると、php5.3がEOLを迎えた2014年8月14日以降もセキュリティの修正パッチが提供され続けていることが分かります。 Redhat のRemi Colletさんが、頑張って php の修正パッチを当てられていることが分かります。

    [[email protected] ~]$ rpm -q --changelog php | head -n 20* Mon Nov 07 2016 Remi Collet <[email protected]> - 5.3.3-49- fix php-soap fails to connect to HTTPS web service sporadically  as stream_socket_enable_crypto() uses NONBLOCK #1283153* Mon Jul 25 2016 Remi Collet <[email protected]> - 5.3.3-48- don't set environmental variable based on user supplied Proxy  request header CVE-2016-5385* Wed Dec 09 2015 Remi Collet <[email protected]> - 5.3.3-47- fix wrong warning in openssl_encrypt() for missing IV  when IV is not required #1260315- fix segfault's when you try and allocate an SplFixedArray  with size >= 9999 #1071344- segfault in php_pgsql_meta_data CVE-2015-4644  #1234434- add options to enable TLS in curl #1255920- fix segfault in gc_collect_cycles #1122681* Fri Jul 03 2015 Remi Collet <[email protected]> - 5.3.3-46- fix gzfile accept paths with NUL character #1213407- fix patch for CVE-2015-4024

    Remi ColletさんはRemiパッケージのメンテナーで、remiは最新の php パッケージなどを提供しているようです。

    English : FAQ - Remi's RPM repository - Blog

    CentOS6のMaintenace Updatesは、2020年11月30日まで提供されるようなので、 東京オリンピック までには余裕を持ってCentOS7に移行したいですね。

    About/Product - CentOS Wiki

    ちなみに、最近出てきた 脆弱性 スキャナのvulsでは、CentOS6の php

    【年間ランキング6年連続受賞】!【イージャパンモール】 トップラベラー 1YS-8S-D 【返品·交換·キャンセル不可】 1YS-8S-D ★まとめ買い★新盛インダストリ 文具、ステーショナリー 【イージャパンモール】 :010-00038889:eジャパン ×10個 1YS-8S-D (LE-173)-その他筆記用具

    パッケージは 脆弱性 のあるパッケージとして誤検知されるかどうか確認してみました。 vagrant でCentOS6.9の環境にvulsをインストールして自分自身をスキャンさせます。 php は最新のパッケージにしています。
    toripiyo.hatenablog.com

    [[email protected] ~]$ rpm -qa | grep phpphp-common-5.3.3-49.el6.x86_64php-5.3.3-49.el6.x86_64php-cli-5.3.3-49.el6.x86_64[[email protected] ~]$ vuls report --ovaldb-path /home/vagrant/go/src/github.com/kotakanbe/goval-dictionary/oval.sqlite3  | head -n 20[Jun 14 14:35:18]  INFO [localhost] Validating config...[Jun 14 14:35:18]  INFO [localhost] cve-dictionary: /home/vagrant/cve.sqlite3[Jun 14 14:35:18]  INFO [localhost] oval-dictionary: /home/vagrant/go/src/github.com/kotakanbe/goval-dictionary/oval.sqlite3[Jun 14 14:35:18]  INFO [localhost] Loaded: /home/vagrant/results/2018-06-13T13:01:02Zlocalhost (centos6.9)=====================Total: 75 (High:24 Medium:51 Low:0 ?:0)	393 installed, 45 updatableCVE-2017-11176  	10.0 HIGH (nvd)                	The mq_notify function in the Linux kernel through 4.11.9 does not set the sock                	pointer to NULL upon entry into the retry logic. During a user-space close of a                	Netlink socket, it allows attackers to cause a denial of service                	(use-after-free) or possibly have unspecified other impact.                	---                	https://nvd.nist.gov/vuln/detail/CVE-2017-11176                	https://access.redhat.com/security/cve/CVE-2017-11176 (RHEL-CVE)                	10.0/AV:N/AC:L/Au:N/C:C/I:C/A:C (nvd)                	https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-11176                	7.8/CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (redhat)                	https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-11176                	Confidence: 100 / OvalMatchCVE-2017-18017  	10.0 HIGH (nvd)                	The tcpmss_mangle_packet function in net/netfilter/xt_TCPMSS.c in the Linux[[email protected] ~]$ vuls report --ovaldb-path /home/vagrant/go/src/github.com/kotakanbe/goval-dictionary/oval.sqlite3 2>&1 | grep -i php[[email protected] ~]$

    vulsでは php のパッケージは 脆弱性 のあるものとして誤検知されませんでした。ただ、 脆弱性 スキャナの中には、 php -5.3.3-49.el6. x86 _64のパッケージ名の php -5.3.3の箇所のみを見て 脆弱性 があると判定するものもあるそうなので注意が必要です。

    【検索キーワード(商品内容を保障するものではありません)】事務用品 マネー関連品·店舗用品 マネー関連品·店舗用品
    スターをつけました

    引用をストックしました

    引用するにはまずログインしてください

    引用をストックできませんでした。再度お試しください

    限定公開記事のため引用できません。

    読者です 読者をやめる 読者になる 読者になる