プロダクション環境でPHP 5.2.17(dotdebから)を使用していますが、CVE-2011-4885のセキュリティ上の問題を修正するリリースはありません。 PHP SVN 5.2ブランチでも、私は6ヶ月間コミットを見つけることはありません。CVE-2011-4885セキュリティ上の問題とPHP 5.2
どうすれば対応できますか? PHP 5.3を使用することが目標ですが、古いコードをテストして修正するにはさらに時間が必要です。
自分自身や他の人のコメントを確かな答えにする。
ご使用のPHPのバージョンにSuhosinパッチがインストールされている場合(phpinfo()を確認してください)、suhosin.request.max_varsの設定値を使用できます。デフォルトでは200に設定されているので、デフォルトではインストールはかなり安全です。
DaveRandomが提案していない場合は、5.2.17 backport of the max_input_vars patchが提案されています。しかし、このパッチは、PHP 5.3.10で修正された悪用に対して脆弱である可能性があります。
changed in 5.3.10はこの悪用を修正するために何があったのか分かりますが、コードは5.2.17に直接適用できません。
可能であれば、できるだけ早くPHPの最新バージョンにアップグレードしてください。
PHP 5.2ブランチはPHPではサポートされなくなりました。私はかなり彼らがバグ修正やセキュリティパッチをやっていないことを意味していると確信しています。 5.3ブランチにアップグレードすることを強くお勧めします(これは必ずしも容易ではないことは承知していますが)。
PHPのバージョンにSuhosinパッチがコンパイルされていますか? – Leigh
5.3.9 [[max_input_vars']を追加して(http://www.php.net/archive/2012.php#id2012-01-10-1)[これは修正されました](http://www.php .net/manual/en/info.configuration.php#ini.max-input-vars)のphp.iniへの指令です。私は[このパッチ]を見つけました(https://github.com/laruence/laruence.github.com/blob/master/php-5.2-max-input-vars/php-5.2.17-max-input-vars.patch )これは、同じ機能を提供するための5.2.17の修正点と思われる。 – DaveRandom
@DaveRandom:5.3.9コードのバックポートであれば、5.3.10が導入したリモートコード実行ホールを修正するので、おそらくそれを使用したくないでしょう。 P – Leigh