Turn off! register_globals

via 暫定ファイルのリリース

register­_­g­lob­als = on にして Word­Press を動かしている場合のかなり深刻なセキュリティホールが発見されてます。たぶん ME も同じセキュリティホールを含んでいると思われます。
(中略)
PHP の設定が register­_­g­lob­als = off になってれば全く問題ありません。なので、もし今 on になっている方がいましたら即座に off にしましょう、という注意喚起のお知らせです。

フォーラムにも投げたけど,.htaccess に

<ifmodule mod_php4.c>
php_flag register_globals Off
</ifmodule>

と記述する事で(一時的にでも)回避できないかな? b2e­volu­tion のsample.htaccess でもそうなってるみたいだし。

p.s. フォーラムで Otsukare氏からリプライがありました。

可能です
ただし、オーバーライドが許可されているという条件付きになります。

Apache の設定ファイルで Over­ride が許可されてるかどうかがポイントなのねー(最近 httpd.conf 弄ってないからすっかり存在を忘れてた)。私が借りてるサーバ(lolipop)はどうなのかなー。ちなみには register­_­g­lob­als は on でした。MEな方は早めにパッチを当ててください。

p.p.s. .htac­cess に上のコードを書いてphpinfoを見たところ,register_globals は off になってました(Override が許可される設定だったのね,ラッキー)

Recent Posts

Recent Comments

aka Written by: