ClickCease Deux vulnérabilités PHP critiques corrigées

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Deux vulnérabilités PHP critiques corrigées

par Rohan Timalsina

Le 18 septembre 2023 - L'équipe d'experts de TuxCare

Récemment, deux vulnérabilités de sécurité critiques ont été corrigées dans PHP. Elles pourraient permettre à un attaquant de voler des informations sensibles, de provoquer un crash du système et d'exécuter un code arbitraire sur la machine affectée. Ces vulnérabilités sont dues à une mauvaise gestion par PHP de certains fichiers XML (CVE-2023-3823) et de certains fichiers PHAR (CVE-2023-3824).

Ces deux vulnérabilités ont été découvertes dans les versions de PHP 8.0.* avant 8.0.30, 8.1.* avant 8.1.22, et 8.2.* avant 8.2.8. Les nouvelles mises à jour de PHP ont été rendues disponibles pour corriger ces vulnérabilités de haute sévérité. Par conséquent, il est essentiel de mettre à jour la dernière version dès que possible pour protéger votre système contre les risques associés à ces vulnérabilités exploitables.

 

Correction des vulnérabilités de PHP

CVE-2023-3823

En PHP, plusieurs fonctions XML dépendent de l'état global libxml pour contrôler les variables de configuration, y compris le chargement d'entités externes. Cet état global est généralement supposé rester inchangé à moins d'être explicitement modifié par l'utilisateur au travers de fonctions spécifiques.

Cependant, comme cet état est partagé par l'ensemble du processus, d'autres modules, tels que ImageMagick, opérant dans le même processus peuvent également interagir avec cette bibliothèque et modifier l'état global pour leurs propres besoins internes. Par conséquent, l'état global peut être laissé lorsque le chargement d'entités externes reste activé.

Cette situation peut entraîner l'analyse involontaire de fichiers XML externes avec des entités externes chargées, exposant potentiellement des fichiers locaux sensibles accessibles à PHP. Cet état de vulnérabilité peut persister à travers plusieurs requêtes dans le même processus jusqu'à ce que le processus soit terminé.

 

CVE-2023-3824

Un problème de sécurité potentiel survient lors du chargement des fichiers phar. Plus précisément, lors de la lecture des entrées du répertoire PHAR (PHP Archive), une validation inadéquate de la longueur peut déclencher un débordement de la mémoire tampon de la pile. Ce débordement peut entraîner une corruption de la mémoire ou même permettre des attaques par exécution de code à distance (RCE).

 

Support du cycle de vie étendu de PHP

Chaque base de code, y compris PHP, présente des vulnérabilités. Par conséquent, vos sites web peuvent faire l'objet d'attaques d'applications et de tentatives d'exploitation. Lorsqu'un fabricant abandonne un produit, il cesse de fournir un support pour votre version actuelle de PHP. Le PHP Extended Lifecycle Support de Tuxcare offre une solution rapide en fournissant des mises à jour de sécurité continues, même après la fin du support officiel.

TuxCare a déjà publié le correctif de sécurité pour les vulnérabilités susmentionnées pour ses distributions Linux à cycle de vie étendu, y compris CentOS 6, CentOS 8.4, CentOS 8.5, CloudLinux6, Oracle Linux 6, Ubuntu 16.04, et Ubuntu 18.04.

De plus, PHP Extended Lifecycle Support offre une flexibilité exceptionnelle en permettant le fonctionnement côte à côte de plusieurs versions de PHP sur le même système. Cette fonctionnalité vous permet d'héberger plusieurs sites web fonctionnant avec des versions distinctes de PHP sans rencontrer de problèmes de compatibilité. Plus d'informations ici.

 

Les sources de cet article comprennent un article de LinuxSecurity.

Résumé
Deux vulnérabilités PHP critiques corrigées
Nom de l'article
Deux vulnérabilités PHP critiques corrigées
Description
Deux vulnérabilités PHP critiques ont été corrigées. Elles pourraient permettre à un attaquant de voler des informations sensibles et d'exécuter du code arbitraire.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !