Säkerhetsbulletin från Debian

DSA-2943-1 php5 -- säkerhetsuppdatering

Rapporterat den:
2014-06-01
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0185, CVE-2014-0237, CVE-2014-0238, CVE-2014-2270.
Ytterligare information:

Flera sårbarheter har upptäckts i PHP, ett generellt skriptspråk som vanligtvis används för utveckling av webbapplikationer:

  • CVE-2014-0185

    Standardrättigheterna för PHP FPM socket har ändrats från 0666 till 0660 för att förhindra en säkerhetssårbarhet (CVE-2014-0185) i PHP FPM som tillät en lokal användare att köra PHP-kod under den aktiva användaren av en FPM-process genom en skapad FastCGI-klient.

    Standard-Debianinställningen sätter nu korrekt listen.owner och listen.group till www-data:www-data i standardkonfigurationen php-fpm.conf. Om du har fler FPM-instanser eller en webbserver som inte kör under www-data-användaren så behöver du justera konfigurationen för FPM-pools i /etc/php5/fpm/pool.d/ så att åtkomstprocessen har rättigheter att få åtkomst till socketen.

  • CVE-2014-0237 / CVE-2014-0238

    Överbelastning i CDF-tolken i modulen fileinfo.

  • CVE-2014-2270

    Överbelastning i modulen fileinfo.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.4.4-14+deb7u10.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era php5-paket.