Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2943-1 php5

Debians sikkerhedsbulletin

DSA-2943-1 php5 -- sikkerhedsopdatering

Rapporteret den:

1. jun 2014

Berørte pakker:

php5

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-0185, CVE-2014-0237, CVE-2014-0238, CVE-2014-2270.

Yderligere oplysninger:

Flere sårbarheder blev fundet i PHP, et skriptsprog til generel anvendelse, som almindeligvis anvendes til webapplikationsudvikling:

• CVE-2014-0185

  PHP FPM's standardsocketrettighed er ændret fra 0666 til 0660, for at modvirke en sikkerhedssårbarhed (CVE-2014-0185) i PHP FPM, som gjorde det muligt for enhver lokal bruger, at køre PHP-kode som FPM-processens aktive bruger, ved hjælp af en fabrikeret FastCGI-klient.

  Debians standardopsætning opsætter nu korrekt listen.owner og listen.group til www-data:www-data i standard php-fpm.conf'en. Hvis man har flere FPM-instanser eller en webserver som ikke kører under brugeren www-data, skal man ændre sin opsætning af FPM-pools i /etc/php5/fpm/pool.d/, så processen har de korrekte rettigheder til at tilgå socket'en.

• CVE-2014-0237 / CVE-2014-0238

  Lammelsesangreb (denial of service) i CDF-fortolkeren i fileinfo-modulet.

• CVE-2014-2270

  Lammelsesangreb i fileinfo-modulet.

I den stabile distribution (wheezy), er disse problemer rettet i version 5.4.4-14+deb7u10.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine php5-pakker.