Bulletin d'alerte Debian

DLA-1373-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :
9 mai 2018
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-10545, CVE-2018-10547, CVE-2018-10548.
Plus de précisions :

Plusieurs problèmes ont été découverts dans PHP (acronyme récursif pour PHP: Hypertext Preprocessor), un langage générique de script au code source ouvert et largement utilisé, particulièrement adapté au développement web et embarquable dans du HTML.

  • CVE-2018-10545

    Les processus fils FPM déchargeables permettaient le contournement des contrôles d'accès d'opcache car fpm_unix.c réalise un appel prctl PR_SET_DUMPABLE permettant à un utilisateur (dans un environnement multi-utilisateur) d’obtenir des informations sensibles de la mémoire de processus d’applications PHP d’un autre utilisateur en exécutant gcore sur le PID du processus de worker PHP-FPM.

  • CVE-2018-10547

    Il existe un script intersite réfléchi dans les pages d’erreur 403 et 404 de PHAR à l’aide de données de requête pour un fichier .phar. REMARQUE : cette vulnérabilité existe à cause d’un correctif incomplet pour CVE-2018-5712.

  • CVE-2018-10548

    Ext/ldap/ldap.c permet aux serveurs LDAP distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage d'application) à cause d’une mauvaise gestion de la valeur de retour de ldap_get_dn.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u14.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.