永田順伸のブログ

PHP4のセキュリティリスク

PHP4.4.9を利用しているお客様のところにクレジット会社のセキュリティ部門から文書が届いた。

文書はサイトのセキュリティリスクの評価であり、PHP4.4.9はセキュリティリスクが10段階評価で10になっていて、各脆弱性についてのリンクが示されていた。
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-1453
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-1454
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-1584
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5557

まだまだPHP4.4.9を利用しているosCommerceユーザはたくさんいると思うが、
具体的に目に見える形で脅威を感じなければ何をするにも費用がかかるので何もしないでそのままではないだろうか。
そのまま何もしないのであれば閉鎖してしまったほうがいいかもしれない。
なぜなら、管理の甘いサイトだと気付かれるとあの手この手で脆弱性を突く攻撃が続くためだ。
外部からいろいろとクレームまで届くようになる。
PHP4.4.9が動作しているサーバのOSや関連したサーバなどすべて古いので新しいサーバへの移転が一番かもしれない。

モバイルバージョンを終了