Ubuntu corrige de multiples vulnérabilités PHP : Mise à jour immédiate
De multiples failles de sécurité ont été identifiées dans PHP, un langage de script généraliste open source largement utilisé, qui pourraient compromettre la sécurité et l'intégrité des applications web. Ces vulnérabilités incluent l'analyse incorrecte des données multipart/form-data, la mauvaise gestion des directives et des mécanismes de journalisation défectueux. Entrons dans les détails de ces récentes vulnérabilités.
Les récentes vulnérabilités de PHP sont corrigées
Cette vulnérabilité affecte la manière dont PHP traite les téléchargements de fichiers et les données des formulaires d'entrée, ce qui peut entraîner un traitement incorrect des données légitimes. Les attaquants peuvent manipuler les données du formulaire, ce qui entraîne le traitement incorrect ou l'exclusion de certaines parties des données. Cela peut conduire à des erreurs d'application, à des violations de l'intégrité des données, voire à des failles de sécurité en cas de contenu malveillant.
Ce problème concerne la variable HTTP_REDIRECT_STATUS, qui est utilisée pour vérifier si le binaire CGI de PHP s'exécute sous un serveur HTTP. La vulnérabilité permet aux auteurs de requêtes de contrôler cette variable via les en-têtes HTTP, ce qui permet de contourner la directive cgi.force_redirect, qui est conçue pour empêcher l'inclusion de fichiers arbitraires.
Cette faille pourrait permettre à des attaquants de manipuler les configurations du serveur, ce qui entraînerait de graves problèmes de sécurité tels que l'inclusion de fichiers arbitraires, qui pourrait exposer des données sensibles ou permettre l'exécution de code à distance (RCE).
Cette vulnérabilité de PHP permet aux attaquants de manipuler ou de supprimer jusqu'à quatre caractères des messages de journal, ce qui peut entraîner des journaux altérés ou incomplets. Dans les environnements où PHP-FPM est configuré pour utiliser la sortie syslog, les attaquants peuvent exploiter cette faille pour manipuler davantage les données du journal, masquant potentiellement une activité malveillante.
Mises à jour de sécurité disponibles
Pour corriger ces vulnérabilités PHP, Canonical a publié des correctifs de sécurité pour diverses versions d'Ubuntu, y compris Ubuntu 24.04 LTS, Ubuntu 22.04 LTS et Ubuntu 20.04 LTS. Pour les utilisateurs de Debian, les vulnérabilités ont été corrigées dans la version 8.2.24-1~deb12u1 pour la version stable Debian 12 "Bookworm".
Il est essentiel de mettre à jour les paquets PHP immédiatement pour limiter les risques potentiels. Des mises à jour régulières garantissent que les failles de sécurité sont corrigées rapidement, ce qui réduit la surface d'attaque pour les acteurs malveillants.
Support étendu du cycle de vie pour Linux en fin de vie
Pour les organisations qui utilisent des systèmes Linux en fin de vie, le maintien de la sécurité devient plus difficile car ces systèmes ne reçoivent plus de mises à jour de sécurité. Cependant, des services tels que l'Extended Lifecycle Support (ELS) de TuxCare offrent une solution en fournissant un support étendu, y compris des correctifs de sécurité pour les paquets critiques tels que PHP, Linux kernel, glibc, OpenSSL, et Python.
L'ELS de TuxCare couvre plus de 140 paquets pour divers systèmes en fin de vie, notamment Ubuntu 16.04, Ubuntu 18.04, CentOS 6, CentOS 7, CentOS 8, CentOS Stream 8, et Oracle Linux 6 et Oracle Linux 7.
En outre, TuxCare offre également un support de cycle de vie étendu pour PHP, qui offre des correctifs de sécurité continus pour les anciennes versions de PHP à travers les distributions Linux actuelles et non supportées. Avec PHP ELS, les organisations peuvent continuer à utiliser les anciennes versions de PHP en toute sécurité sans avoir besoin de remanier le code à grande échelle.
En savoir plus sur l'extension du support pour les versions PHP en fin de vie dans notre blog précédent.
Source : USN-7049-1