| |
— | aankondigingen:2018:php-remote-code-execution [2024/03/07 17:08] (current) – created - external edit 127.0.0.1 |
---|
| ~~META: |
| title = C2018D12: PHP-7 Arbitrary Code Execution |
| ~~ |
| ====== C2018D12: PHP-7 Arbitrary Code Execution ====== |
| |
| ====== Klantcommunicatie ====== |
| |
| ==== Aankondigingen ==== |
| |
| === Aankondiging: Spoed PHP update hosting omgeving === |
| |
| Beste Klant / collega, |
| |
| in PHP-7 zijn recent een aantal kwetsbaarheden ontdekt die kunnen leiden |
| tot het |
| [[https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-113/|uitvoeren |
| van arbitraire code]]. |
| Vanwege het hoge risico dat hieraan kleeft zullen we de update naar een |
| nieuwere versie van php waarin deze problemen opgelost zijn versneld |
| uitvoeren, te weten op 18 oktober. |
| |
| /* Dingen die deze ronde niet meedoen zijn uit ge-comment */ |
| ^ wat ^ van ^ naar ^ changelog ^ |
| /*| apache | 2.4.33 | 2.4.34 | [[http://www.apache.org/dist/httpd/CHANGES_2.4.34|1]] |*/ |
| /*| nginx | 1.15.2 | 1.15.3 | [[http://nginx.org/en/CHANGES|1]] |*/ |
| /*| php 5.6 | 5.6.37 | 5.6.38 | [[http://php.net/ChangeLog-5.php#5.6.37 |1]] |*/ |
| | php 7.1 | 7.1.22 | 7.1.23 | [[http://php.net/ChangeLog-7.php#7.1.23|1]] | |
| | php 7.2 | 7.2.10 | 7.2.11 | [[http://php.net/ChangeLog-7.php#7.2.11|1]] | |
| /*| passenger 5 | 5.0.21 | 5.3.4 | [[https://github.com/phusion/passenger/blob/stable-5.3/CHANGELOG|1]] |*/ |
| /*| python | 2.7.14 | 2.7.15 | [[https://www.python.org/downloads/release/python-2715/|1]] |*/ |
| /*| python | 3.6.4 | 3.6.5 | [[https://www.python.org/downloads/release/python-365/|1]] |*/ |
| /*| java 1.8 | 1.8.0_172 | 1.8.0_181 | [[http://www.oracle.com/technetwork/java/javase/8u181-relnotes-4479407.html|1]] |*/ |
| /*| tomcat 8 | 8.0.15 / 8.0.30 | 8.5.33 | [[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|1]] |*/ |
| /*| ImageMagick 6 | 6.7.2.7 / 6.9.7-5 | 6.9.10-11 | [[https://www.imagemagick.org/script/changelog.php|1]] |*/ |
| /*| ImageMagick 7 | 7.0.4-5 | 7.0.8-11 | [[https://www.imagemagick.org/script/changelog.php|1]] |*/ |
| /*| memcached | 1.5.8 | 1.5.10 | [[https://github.com/memcached/memcached/wiki/ReleaseNotes1510|1]] |*/ |
| /*| mariadb | 10.2.15 | 10.2.17 | [[https://mariadb.com/kb/en/library/mariadb-10216-release-notes/|1]] [[https://mariadb.com/kb/en/library/mariadb-10217-release-notes/|2]] |*/ |
| /*| mysql | 5.7.22 | 5.7.23 | [[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-23.html|1]] |*/*/ |
| /*| postgresql 8 | 8.1.5 | 9.6.10 | [[https://www.postgresql.org/docs/9.6/static/release.html|1]]|*/ |
| /*| postgresql 9.4| 9.4.5 | 9.4.19 | [[https://www.postgresql.org/docs/9.4/static/release.html|1]]|*/ |
| /*| postgresql 9.6| 9.6.4 | 9.6.10 | [[https://www.postgresql.org/docs/9.6/static/release.html|1]]|*/ |
| /*| openssh | 7.7 | 7.8 | [[https://www.openssh.com/releasenotes.html|1]] |*/ |
| /*| postfix | 3.2.5 | 3.2.6 | [[http://www.postfix.org/announcements/postfix-3.3.1.html|1]] |*/ |
| /*| bind | 9.11.3 | 9.11.4-P1 | [[https://kb.isc.org/article/AA-01634/81/BIND-9.11.4-Release-Notes.html|1]] [[https://kb.isc.org/article/AA-01644/81/BIND-9.11.4-P1-Release-Notes.html|2]] |*/ |
| /*|unbound | 1.7.1 | 1.7.3 | [[http://www.unbound.net/download.html|1]] |*/ |
| |
| De updates zijn inmiddels op het testcluster doorgevoerd, zodat er op |
| woensdag 17 oktober gelegenheid is om de nieuwe versies te testen. |
| |
| Het schema voor de productie clusters is als volgt: |
| /* Dingen die deze ronde niet meedoen zijn uit ge-comment */ |
| ^ wat ^ actie ^ impact ^ wanneer ^ |
| /*|apache |herstart webservers |geen |27 augustus 8:00 -- 12:00 |*/ |
| /*|nginx |herstart webservers |geen |24 september 8:00 -- 12:00 |*/ |
| |php |herstart applicatieservers |geen |18 oktober 8:00 -- 12:00 | |
| /*|passenger |herstart Ruby-on-Rails applicaties |geen |24 september 8:00 -- 12:00 |*/ |
| /*|python |herstart applicatieservers |geen |11 juni 8:00 -- 12:00 |*/ |
| /*|java |herstart niet geclusterde applicaties als Tomcat, ActiveMQ, Graylog en Junction |ongeveer 1-5 min downtime per instantie |28 augustus 1:00 -- 6:00 |*/ |
| /*|ImageMagick |nieuwe versie wordt actief |geen |24 september 8:00 -- 12:00 |*/ |
| /*|mariadb |herstart databases |2 korte onderbrekingen naar de database instanties |28 augustus 1:00 -- 6:00 |*/ |
| /*|mysql |herstart databases |2 korte onderbrekingen naar de database instanties |28 augustus 1:00 -- 6:00 |*/ |
| /*|memcached |herstart Memcached instanties |memory caches worden gecleared |29 augustus 8:00 -- 12:00 |*/ |
| /*|openssh |herstart openssh |geen, bestaande sessies blijven bestaan |25 september 8:00 -- 12:00 |*/ |
| /*|postfix |herstart mailservers |geen |12 juni 8:00 -- 12:00 |*/ |
| /*|bind |herstart nameservers |geen |29 augustus 8:00 -- 12:00 |*/ |
| /*|unbound |herstart dns-resolvers |geen |29 augustus 8:00 -- 12:00 |*/ |
| /*|java |herstart wel geclusterde applicaties als Elastic Search |geen |29 augustus 13:00 -- 17:00 |*/ |
| /*|postgresql |herstart databases |1 korte onderbreking naar de database instanties |26 september 1:00 -- 5:00 |*/ |
| /*|tomcat |herstart java applicaties |ongeveer 1-5 min downtime per instantie |26 september 1:00 -- 5:00 |*/ |
| |