SME6 - Failles sur les anciennes versions de PHP

[rodolphedj]

De multiples failles ont été découvertes dans toutes les versions PHP, exceptées les dernières qui sont justement pourvues des corrections adéquates. Sont donc concernées toutes les versions antérieures à la 4.3.10 et à la 5.0.3. Ces dernières apportent des correctifs sur les failles suivantes :


Une faille dans la fonction "pack()" : Dépassement de tampon et exécution de code arbitraire avec privilèges

Une faille dans la fonction "unpack()" : couplée à la première faille, permet d'outrepasser des mécanismes de protection de la pile

Une erreur dans safe_mode quand des commandes sont exécutées : uniquement si le PHP fonctionne en multi-threaded sur un serveur Unix, la restriction safe_mode_exec_dir peut être dépassée par l'injection de commandes shell dans le nom du répertoire

Une autre erreur dans safe_mode : combinée à certaines utilisations de la fonction "realpath()", permet de dépasser safe_mode à travers un chemin d'accès spécial

Une erreur dans la gestion des chemin d'accès des fichiers : le problème vient de la fonction "realpath()" qui est utilisée pour obtenir le chemin d'accès absolu d'un fichier.

Plusieurs erreurs dans le code de désérialisation peuvent conduire à révéler des informations ou à l'exécution de code arbitraire à travers la fonction "unserialize()".

Une erreur dans la fonction "shmop_write()" : permet d'écrire dans une zone non-protégée de la mémoire

Une erreur non spécifiée dans la fonction "exif_read_data()" pendant la gestion des noms longs de sections.

Une erreur dans la fonction "addslashes()" : peut être exploitée pour lire arbitrairement des fichiers sur le système.

Une erreur dans "magic_quotes_gpc"


http://www.pcinpact.com/actu/news/Failles_multiples_sur_les_anciennes_versions_de_PH.htm

Pensez à mettre à jour PHP sur SME via les RPMs Dispo

en recherche, si vous avez....

Ce qui serait bien, c'est une liste des RPMs pour une mise à jour de tous les modules les plus utilisés :
- Apache
- Php
- MySql
- Qmail
- Impd,popd,horde
- ssh
- samba

--> trouver ici ! http://contribs.org/modules/phpwiki/index.php/Latest%20version%20of%20update%20scripts

Les détails

PHP: RPMS provided by: http://contribs.org/contribs/ldinclaux/ ... ribs/RPMS/
...but updated script found at: http://contribs.org/contribs/ergozd/scripts/
OpenSSH: http://sme.swerts-knudsen.com/downloads ... 1/OpenSSH/
OpenSSL: http://sme.swerts-knudsen.com/downloads ... 1/OpenSSL/
Webmail: http://contribs.org/modules/mylinks/sin ... 17&lid=416
...but updated files found at: http://sme.swerts-knudsen.com/downloads ... 1/WebMail/
Apache (also db4 and python 2.3): This is really not an SME contrib, but just Redhat 7.3 compatible RPMS
http://norlug.org/?op=rpms&rpm_func=rpm_index&cat=1
MySQL 4.0: Many contributors to this - not sure who was first
http://contribs.org/modules/pbboard/vie ... hp?t=23920
...but updated script found at: http://contribs.org/contribs/ergozd/scripts/
Misc. Security Updates http://sme.swerts-knudsen.com/downloads/Updates/6.0.1/

Optional (but highly recommended) Updates

Lazy Admin Tools: http://www.contribs.org/contribs/mblotw ... -tools.htm
Userpanel: http://www.dungog.net/sme/files/userpanel/
Antivirus: http://sme.swerts-knudsen.com/howtos/howto_22.htm
Spam Filter: http://sme.swerts-knudsen.dk/howtos/howto_29.htm
Phpmyadmin: http://contribs.org/contribs/nightspiri ... hpmyadmin/
Awstats: http://sme.swerts-knudsen.com/howtos/howto_7.htm
Securemail: http://www.pagefault.org/howto/securemail.shtml
Modindex: http://contribs.org/contribs/gzartman/Beta/ModIndex/
Delete Double Bounce emails: http://sme.swerts-knudsen.com/howtos/howto_27.htm
Fetchmail POP 3: http://www.schirrms.net/sme/SMEFetchMail.php
Dungog contribs: http://www.dungog.net/sme/files/index.php
Windows Update Cache Manager: http://contribs.org/contribs/erantrua/e ... ws-update/
DHCP to DNS Synchroniser: http://www.activeservice.co.uk/sme/contribs/
DHCP Manager: http://www.developit.fr/FichePratique/SMEServer/
Print Spooler Manager: http://www.saco-support.de/sme/smeserver-lprng-monitor/
Mail Log Analyser: http://www.saco-support.de/sme/saco-mit ... noarch.rpm
Rootkit Hunter: http://contribs.org/contribs/dthomas/sm ... /rkhunter/
Raidmonitor: http://contribs.org/contribs/dmay/mitel ... idmonitor/



Le Scripts de mise à jour automatique (corrigé pour mysql 4.0.24) :
This script will download updates for your SME 6.01 in "/root/plus/" installs them after successful download and add some contribs.
This script is *no* official update and intended only for fresh installations of SME 6.0.1-01 but *may* work with modified SME 6.01 installations, too. No express or implied warranties are provided and its usage is at your own risk. http://rodolphedj.free.fr/scripts/smeplus.sh
(et pas encore testé , smeplus.sh françisé par Yoda, là : http://rodolphedj.free.fr/scripts/smeplus_fr.sh , merci à lui)

pour php 4.3.11 , voici le script de sweepy :
http://rodolphedj.free.fr/scripts/sweepy.sh

pour executer un script à distance sur sa SME :

Code: Tout sélectionner

(se connecter en root en console ou par ssh)
cd /tmp
wget http://rodolphedj.free.fr/scripts/sweepy.sh
chmod a+x sweepy.sh
./sweepy.sh


@++

[Muzo]

Merci!
Je l'ai mis en post-it.

/Muzo

[rodolphedj]

J'attends les retours d'experiences

[Pabze]

Bonsoir,
Voici, les RPMs que nous avons testé avec succés sur nos SME, unrealmouss et moi même :

- Apache :

apache-1.3.33-2.norlug.i386.rpm
apache-devel-1.3.33-2.norlug.i386.rpm
apache-manual-1.3.33-2.norlug.i386.rpm
compat-glibc-6.2-2.1.3.2.i386.rpm
db4-4.0.14-4.norlug.i386.rpm
mod_ssl-2.8.22-1.norlug.i386.rpm
python2.3-2.3.4-2.norlug.i386.rpm

- Php : (Malheureusement en version 4.3.9)

php-4.3.9-1ld.i386.rpm
php-devel-4.3.9-1ld.i386.rpm
php-imap-4.3.9-1ld.i386.rpm
php-ldap-4.3.9-1ld.i386.rpm
php-mysql-4.3.9-1ld.i386.rpm
php-odbc-4.3.9-1ld.i386.rpm
php-snmp-4.3.9-1ld.i386.rpm
unixODBC-2.2.0-5.i386.rpm

- MySql :

MySQL-client-4.0.22-0.i386.rpm
MySQL-devel-4.0.22-0.i386.rpm
MySQL-server-4.0.22-0.i386.rpm
MySQL-shared-compat-4.0.22-0.i386.rpm

- Qmail :

Hélas... plus de mise a jour depuis qmail-1.03-08

- Impd,popd,horde :

e-smith-imp-1.10.0-04dm.noarch.rpm
e-smith-kronolith-0.8.1-02.noarch.rpm
e-smith-mnemo-0.8.0-04.noarch.rpm
e-smith-nag-0.8.0-05.noarch.rpm
horde-2.2.5-1dm.noarch.rpm
imp-3.2.5-01dm.noarch.rpm
kronolith-1.1.2-1es.noarch.rpm
mnemo-1.1.2-1es.noarch.rpm
nag-1.1.1-1es.noarch.rpm
turba-1.2.2-1es00.noarch.rpm

- ssh :

openssh-3.9p1-1es1.i386.rpm
openssh-clients-3.9p1-1es1.i386.rpm
openssh-server-3.9p1-1es1.i386.rpm

- ssl :

openssl-0.9.6m-1es1.i386.rpm
openssl-devel-0.9.6m-1es1.i386.rpm
openssl-perl-0.9.6m-1es1.i386.rpm

- samba :

e-smith-samba-2.1.0-03.noarch.rpm
samba-3.0.7-1sme1.i386.rpm
samba-client-3.0.7-1sme1.i386.rpm
samba-common-3.0.7-1sme1.i386.rpm

Et mise à jour du noyau en version et recompilation des module PPP :

kernel-2.4.20-35.7
kernel-smp-2.4.20-35.7
ppp-2.4.2b2-1es4
ppp-modules-2.4.2b2-1es4_2.4.20_35.7

Tous et fonctionnel et aucun logs particuliers depuis plus de deux mois.
Mise en production également depuis 2 mois sur 4 de nos filiales.
(PDC, Mails, Serveur NFS...)

[rodolphedj]

merci !

[sibsib]

Salut,

Euhhh....

Les derniers RPMs PHP pour SME sont en 4.3.9, qui contient encore les différents bugs de sécu.

Je ne sais pas vraiment si l'update est judicieux, dans ce cas ???

[sweepy]

Bonsoir

je suis passe a php 4.3.10 avec l'adaptation du script de Laurent DINCLAUX

ici sous howto php 4.3.10

Aucun message d'erreur et tout fonctionne comme avant

pour les mises a jour avec le script smeplus.sh j'ai prefere le faire a la mano car je n'avais pas besoin de tout

[Pabze]

Les derniers RPMs PHP pour SME sont en 4.3.9, qui contient encore les différents bugs de sécu.

Je ne sais pas vraiment si l'update est judicieux, dans ce cas ???

Bonjour,

Même s'il contient encore ce bug, sa mise à jour est obligatoire si tu souhaites mettre à jour Hode pour la Webmail, nous allons tenter une installation de PHP 5.0.3 ce weekend (Dimanche, avant je fais le pére noël pour mon petit ! )

Une installation de la version 4.3.10, ne devrait posé aucun probléme, elle ne corrige que certains bugs des versions précédentes, pour la PHP 5.0.3, cela reste à voir, cette une belle evolution du code...

Je vous tiens au courant... en cas de deces d'une de nos SME de test... (Avec test, site, webmail...)

PABZE

[sibsib]

Bonsoir

je suis passe a php 4.3.10 avec l'adaptation du script de Laurent DINCLAUX

ici sous howto php 4.3.10

Aucun message d'erreur et tout fonctionne comme avant

pour les mises a jour avec le script smeplus.sh j'ai prefere le faire a la mano car je n'avais pas besoin de tout

Salut,

Je viens de faire çà, et, pour le modeste usage que je fais de PHP, çà marche (j'étais déjà en 4.3.8, par contre).
php fonctionne, l'accès à mySQL aussi, le webmail fonctionne.

Le plus dur a été de trouver le script sur le site de sweepy

Merci Sweepy,

A+,
Pascal

[Sitecreator]

Salut à tous

je viens de mettre à jour serveur SME à la version php 4.3.10 avec le script de sweepy.
Tout fonctionne parfaitement comme avant.

MERCI SWEEPY !!! Et aux concepteurs du script !!!

[rodolphedj]

pour php 4.3.10 , voici le script de sweepy

http://rodolphedj.free.fr/scripts/sweepy.sh

[Naeh]

j'ai essayé mais il plante en disant qu'il ne trouve pas rpmlist

des idées ?

merci

[Naeh]

le mysql aussi y a un probleme je pense

dans le phpinfo je vois que je suis en version 3.23.56 pareil quand je suis sur le phpmyadmin, y'a t-il un autre moyen de voir la version de mysql ?

mici

[rodolphedj]

essaye ça :

Code: Tout sélectionner

rpm -qa mysql*

[Naeh]

Salut

voici la réponse :

Code: Tout sélectionner

mysql-devel-3.23.56-1.73
mysql-3.23.56-1.73
mysql-server-3.23.56-1.73
mysqlclient9-3.23.22-8