Debian セキュリティ勧告

DSA-2943-1 php5 -- セキュリティ更新

報告日時:
2014-06-01
影響を受けるパッケージ:
php5
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0185, CVE-2014-0237, CVE-2014-0238, CVE-2014-2270.
詳細:

ウェブアプリケーションの開発に広く利用されている多目的スクリプティング言語 PHP に脆弱性が複数見つかっています:

  • CVE-2014-0185

    デフォルトの PHP FPM ソケット権限が 0666 から 0660 に変更され、 細工した FastCGI クライアントを経由してアクティブなFPMプロセスの ユーザの権限でのPHPコードの実行をあらゆるローカルユーザに許す PHP FPM のセキュリティ脆弱性 (CVE-2014-0185) を緩和します。

    Debian ではデフォルトの php-fpm.conf で、listen.owner と listen.group に www-data:www-data を正しくセットするようになっています。 FPMを他にも使っている場合やウェブサーバを www-data 以外のユーザで実行している場合は、/etc/php5/fpm/pool.d/ 以下で FPM プールの設定を調整してアクセスするプロセスにソケットにアクセスする権限を与える必要があります。

  • CVE-2014-0237 / CVE-2014-0238

    fileinfo モジュールのCDFパーサでのサービス拒否。

  • CVE-2014-2270

    fileinfo モジュールでのサービス拒否。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 5.4.4-14+deb7u10 で修正されています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに php5 パッケージをアップグレードすることを勧めます。