PHP mis a jour pour eliminer des failess OpenSSL et d’autres bogues

Les mainteneurs de PHP ont publié deux nouvelles versions du langage de script qui éliminent plusieurs bogues, dont deux vulnérabilités liées à OpenSSL. Les deux versions 5.4.28 et 5.5.12 contiennent ce correctif important ainsi que des correctifs pour une dizaine d’autres vulnérabilités.

Le correctif pour les défauts OpenSSL figurent dans les versions PHP 5.4.28 et 5.5.12. Elles contiennent également plusieurs autres correctifs, dont un pour la vulnérabilité de classe d’élévation de privilèges CVE-2014-0185 Ce bogue pourrait permettre à un attaquant, dans certaines situations, d’exécuter un code arbitraire.

Comme l’explique une description du bogue : « Les deux défauts de configuration par défaut et de compilation de sapi/fpm donnent des configurations qui permettent facilement à n’importe quel utilisateur autorisé de se connecter au socket UNIX pour exécuter un code arbitraire avec les autorisations de l’utilisateur fpm »

Voici un scénario typique pour ce problème :

– environnement d’hébergement partagé avec plusieurs pools fpm exécutés sous des autorisations différentes (utilisateur1, utilisateur2, etc.)

– utilisateur1 peut exécuter facilement un code en tant qu’utilisateur2 en prétendant être un client FastCGI et en se connectant, par exemple, à /var/run/php-fpm.user1.sock.”

Les utilisateurs de ces versions de PHP sont encouragés à installer la mise à jour le plus vite possible afin d’éliminer le risque d’attaque.

threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *