Bulletin d'alerte Debian

DSA-2943-1 php5 -- Mise à jour de sécurité

Date du rapport :
1er juin 2014
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0185, CVE-2014-0237, CVE-2014-0238, CVE-2014-2270.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web :

  • CVE-2014-0185

    Les droits par défaut du socket de l’interface FPM de PHP ont été changés de 0666 en 0660 pour réduire une vulnérabilité de sécurité (CVE-2014-0185) dans l’interface FPM de PHP qui permettait à un utilisateur local quelconque d'exécuter du code PHP sous l'indentité de l'utilisateur actif du processus d’interface FPM grâce à un client FastCGI contrefait.

    La configuration par défaut de Debian affecte maintenant correctement la valeur de listen.owner et listen.group à www-data:www-data dans le fichier php-fpm.conf par défaut. Si vous avez plusieurs instances d’interface FPM ou un serveur web qui ne tourne pas sous l'identité de l'utilisateur www-data, vous devez modifier la valeur des groupes de l’interface FPM dans /etc/php5/fpm/pool.d/ pour que les processus aient les droits pour accéder au socket.

  • CVE-2014-0237 / CVE-2014-0238

    Déni de service dans l'analyseur CDF du module fileinfo.

  • CVE-2014-2270

    Déni de service dans le module fileinfo.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.4-14+deb7u10.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets php5.