Рекомендация Debian по безопасности

DSA-2943-1 php5 -- обновление безопасности

Дата сообщения:
01.06.2014
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0185, CVE-2014-0237, CVE-2014-0238, CVE-2014-2270.
Более подробная информация:

В PHP, языке сценариев общего назначения, который часто используется для разработки веб-приложений, были обнаружены несколько уязвимостей:

  • CVE-2014-0185

    Права доступа к сокету PHP FPM по умолчанию были изменены с 0666 на 0660 для того, чтобы снизить опасность уязвимости (CVE-2014-0185) в PHP FPM, позволяющей любому локальному пользователю запускать код PHP от лица активного пользователя процесса FPM через специально сформированный клиент FastCGI.

    Теперь настройка Debian по умолчанию правильно устанавливает listen.owner и listen.group в значение www-data:www-data в файле php-fpm.conf. Если вы имеете дополнительные FPM, либо если веб-сервер работает не из-под пользователя www-data, то вам следует исправить настройку пула FPM в /etc/php5/fpm/pool.d/ так, чтобы соответствующий процесс имел права на доступ к сокету.

  • CVE-2014-0237 / CVE-2014-0238

    Отказ в обслуживании в ПО для грамматического разбора CDF из модуля fileinfo.

  • CVE-2014-2270

    Отказ в обслуживании в модуле fileinfo.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.4.4-14+deb7u10.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты php5.