01-12

Failles de sécurité PHP

Tags: CVE | DotDEB | PHP | Sécurité
Pas mal de failles de sécurités au niveau de PHP ont été trouvées ces deux dernières semaines, un petit bilan s'impose.

Récapitulatif

 - CVE-2009-2687 CVE-2009-3292
The exif module did not properly handle malformed jpeg files,
allowing an attacker to cause a segfault, resulting in a denial of service.
 - CVE-2009-3291
The php_openssl_apply_verification_policy() function
did not properly perform certificate validation.
 - CVE-2009-2626
A flaw in the ini_restore() function could lead to a
memory disclosure, possibly leading to the disclosure of sensitive data.
Cette dernière n'a pas été fixée pour le moment. Il est tout de même conseillé d'effectuer les mises à jour de PHP dès à présent. Concernant les mises à jour, un nouveau paramètre du fichier php.ini a été rajouté, celui-ci s'appelle max_file_uploads. Il est conseillé de le mettre à 50 au maximum afin d'éviter un potentiel deny de service sur les fonctions d'upload de fichier.

Mise à jour en utilisant les paquets DotDeb

Rajoutez à votre sources.list les deux lignes suivantes
deb http://php53.dotdeb.org stable all
deb-src http://php53.dotdeb.org stable all
Puis effectuez la mise à jour
apt-get update 
apt-get dist-upgrade
# Redémarrer votre serveur web
/etc/init.d/lighttpd restart

 

 

Aucun commentaire pour ce billet.

 

Votre commentaire