01-12
Failles de sécurité PHP
Pas mal de failles de sécurités au niveau de PHP ont été trouvées ces deux dernières semaines, un petit bilan s'impose.Récapitulatif
- CVE-2009-2687 CVE-2009-3292 The exif module did not properly handle malformed jpeg files, allowing an attacker to cause a segfault, resulting in a denial of service.
- CVE-2009-3291 The php_openssl_apply_verification_policy() function did not properly perform certificate validation.
- CVE-2009-2626 A flaw in the ini_restore() function could lead to a memory disclosure, possibly leading to the disclosure of sensitive data.Cette dernière n'a pas été fixée pour le moment. Il est tout de même conseillé d'effectuer les mises à jour de PHP dès à présent. Concernant les mises à jour, un nouveau paramètre du fichier php.ini a été rajouté, celui-ci s'appelle max_file_uploads. Il est conseillé de le mettre à 50 au maximum afin d'éviter un potentiel deny de service sur les fonctions d'upload de fichier.
Mise à jour en utilisant les paquets DotDeb
Rajoutez à votre sources.list les deux lignes suivantesdeb http://php53.dotdeb.org stable all deb-src http://php53.dotdeb.org stable allPuis effectuez la mise à jour
apt-get update apt-get dist-upgrade # Redémarrer votre serveur web /etc/init.d/lighttpd restart
Votre commentaire
Aucun commentaire pour ce billet.