ClickCease Plusieurs vulnérabilités de PHP 7.4 corrigées dans Debian 11

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Plusieurs vulnérabilités de PHP 7.4 corrigées dans Debian 11

Rohan Timalsina

Le 29 avril 2024 - L'équipe d'experts de TuxCare

Debian 11 a été publiée pour la première fois le 14 août 2021 avec la version 7.4 de PHP, qui a déjà atteint sa fin de vie. Cela signifie que PHP 7.4 ne recevra plus de mises à jour officielles ni de correctifs de sécurité de la part de l'équipe de développement de PHP. Cependant, l'équipe de sécurité de Debian fournit des correctifs pour PHP 7.4 car Debian 11 utilise toujours PHP 7.4 comme version par défaut. Récemment, plusieurs vulnérabilités de PHP 7.4 ont été corrigées dans Debian 11, ce qui pourrait entraîner un contournement des cookies sécurisés, des attaques XXE ou une validation incorrecte des hachages de mots de passe.

 

Vulnérabilités récentes de PHP 7.4 corrigées

 

CVE-2023-3823 (score CVSS v3 : 7.5 élevé)

En PHP, plusieurs fonctions XML dépendent de l'état global libxml pour gérer les variables de configuration, comme le chargement d'entités externes. Cet état est généralement supposé rester inchangé à moins d'être spécifiquement modifié par l'utilisateur au moyen d'appels de fonctions appropriés. Cependant, comme cet état est partagé par l'ensemble du processus, d'autres modules comme ImageMagick, qui utilisent également la même bibliothèque au sein du même processus, peuvent par inadvertance modifier cet état global pour leurs propres besoins internes. Par conséquent, l'état global peut être laissé dans un état où le chargement d'entités externes est activé.

Ce scénario peut entraîner l'analyse involontaire de fichiers XML externes avec des entités externes chargées, exposant potentiellement des fichiers locaux accessibles à PHP. Cette vulnérabilité peut persister à travers plusieurs requêtes dans le même processus jusqu'à ce que le processus soit terminé.

 

CVE-2023-3824 (Score CVSS v3 : 9.8 Critique)

Lors du chargement d'un fichier Phar et de la lecture des entrées du répertoire PHAR, une vérification inadéquate de la longueur peut entraîner un débordement du tampon de la pile. Cette vulnérabilité de PHP 7.4 peut potentiellement conduire à une corruption de la mémoire ou à une exécution de code à distance (RCE).

 

CVE-2024-2756 (Score CVSS v3 : 6.5 Moyen)

Ce problème est lié à la manière dont PHP gère les noms de variables HTTP. Un attaquant peut exploiter ce problème en plaçant un cookie standard non sécurisé dans le navigateur de la victime, que les applications PHP interprètent par erreur comme une variable __Host- ou __Secure- cookie. Il convient de noter que cette vulnérabilité persiste en raison d'un correctif incomplet pour #VU67756 (CVE-2022-31629).

 

CVE-2024-3096 (Score CVSS v3 : 4.8 Moyen)

La vulnérabilité provient d'une erreur dans la fonction password_verify(), qui peut conduire à des retours erronés. En exploitant cette faille, un attaquant distant pourrait contourner les mécanismes d'authentification implémentés reposant sur cette fonction vulnérable, et ainsi obtenir un accès non autorisé à l'application web.

 

Mesures d'atténuation

 

Bien que PHP 7.4 ait atteint sa fin de vie, Debian continue de l'utiliser comme version PHP par défaut. La bonne nouvelle est que l'équipe de sécurité de Debian a corrigé les vulnérabilités de PHP 7.4 dans Debian 11 avec la version 7.4.33-1+deb11u5. Il est fortement recommandé de mettre à jour vos paquets PHP 7.4 vers cette version corrigée afin d'assurer la sécurité de votre système.

 

Sécuriser vos systèmes Linux en fin de vie

 

Ces vulnérabilités n'affectent pas seulement la version 7.4 de PHP, mais aussi d'autres versions de PHP. Celles-ci incluent les versions PHP utilisées dans les systèmes d'exploitation en fin de vie, tels que CentOS (6, 7, et 8), Ubuntu 16.04, Ubuntu 18.04, CloudLinux 6, et Oracle Linux 6. Pour sécuriser ces systèmes, vous pouvez utiliser l 'Extended Lifecycle Support de TuxCare qui fournit des correctifs de sécurité pour des années supplémentaires après la fin de vie du système d'exploitation. De plus, ces problèmes ont déjà été corrigés dans l'Extended Lifecycle Support. Pour plus d'informations sur les vulnérabilités et l'état des correctifs, vous pouvez consulter le site cve.tuxcare.com.

TuxCare fournit également des correctifs de sécurité pour les versions PHP en fin de vie afin que vos applications puissent fonctionner de manière fluide et sécurisée sans refonte massive du code. En savoir plus sur la prise en charge du cycle de vie étendu de PHP.

 

Source : DSA 5660-1 DSA 5660-1

Résumé
Plusieurs vulnérabilités de PHP 7.4 corrigées dans Debian 11
Nom de l'article
Plusieurs vulnérabilités de PHP 7.4 corrigées dans Debian 11
Description
Découvrez les vulnérabilités critiques trouvées dans PHP 7.4 et comment les corriger. Explorer les risques de sécurité, les solutions et les mises à jour de Debian.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information