NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2018D12: PHP-7 Arbitrary Code Execution
~~
====== C2018D12: PHP-7 Arbitrary Code Execution ======

====== Klantcommunicatie ======

==== Aankondigingen ====

=== Aankondiging: Spoed PHP update hosting omgeving ===

Beste Klant / collega,

in PHP-7 zijn recent een aantal kwetsbaarheden ontdekt die kunnen leiden
tot het
[[https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-113/|uitvoeren
van arbitraire code]].
Vanwege het hoge risico dat hieraan kleeft zullen we de update naar een
nieuwere versie van php waarin deze problemen opgelost zijn versneld
uitvoeren, te weten op 18 oktober.

/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^ wat		^ van		^ naar		^ changelog ^
/*| apache	| 2.4.33	| 2.4.34	| [[http://www.apache.org/dist/httpd/CHANGES_2.4.34|1]] |*/
/*| nginx		| 1.15.2	| 1.15.3	| [[http://nginx.org/en/CHANGES|1]] |*/
/*| php 5.6	| 5.6.37	| 5.6.38	| [[http://php.net/ChangeLog-5.php#5.6.37 |1]] |*/
| php 7.1	| 7.1.22	| 7.1.23	| [[http://php.net/ChangeLog-7.php#7.1.23|1]] |
| php 7.2	| 7.2.10	| 7.2.11	| [[http://php.net/ChangeLog-7.php#7.2.11|1]] |
/*| passenger 5	| 5.0.21	| 5.3.4		| [[https://github.com/phusion/passenger/blob/stable-5.3/CHANGELOG|1]] |*/
/*| python	| 2.7.14	| 2.7.15	| [[https://www.python.org/downloads/release/python-2715/|1]] |*/
/*| python	| 3.6.4		| 3.6.5		| [[https://www.python.org/downloads/release/python-365/|1]] |*/
/*| java 1.8	| 1.8.0_172	| 1.8.0_181	| [[http://www.oracle.com/technetwork/java/javase/8u181-relnotes-4479407.html|1]] |*/
/*| tomcat 8	| 8.0.15 / 8.0.30 | 8.5.33 | [[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|1]] |*/
/*| ImageMagick 6	| 6.7.2.7 / 6.9.7-5	| 6.9.10-11	| [[https://www.imagemagick.org/script/changelog.php|1]] |*/
/*| ImageMagick 7 | 7.0.4-5	| 7.0.8-11	| [[https://www.imagemagick.org/script/changelog.php|1]] |*/
/*| memcached	| 1.5.8		| 1.5.10	| [[https://github.com/memcached/memcached/wiki/ReleaseNotes1510|1]] |*/
/*| mariadb	| 10.2.15	| 10.2.17	| [[https://mariadb.com/kb/en/library/mariadb-10216-release-notes/|1]] [[https://mariadb.com/kb/en/library/mariadb-10217-release-notes/|2]] |*/
/*| mysql		| 5.7.22	| 5.7.23	| [[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-23.html|1]] |*/*/
/*| postgresql 8	| 8.1.5		| 9.6.10	| [[https://www.postgresql.org/docs/9.6/static/release.html|1]]|*/
/*| postgresql 9.4| 9.4.5		| 9.4.19	| [[https://www.postgresql.org/docs/9.4/static/release.html|1]]|*/
/*| postgresql 9.6| 9.6.4		| 9.6.10	| [[https://www.postgresql.org/docs/9.6/static/release.html|1]]|*/
/*| openssh	| 7.7		| 7.8		| [[https://www.openssh.com/releasenotes.html|1]] |*/
/*| postfix	| 3.2.5		| 3.2.6		| [[http://www.postfix.org/announcements/postfix-3.3.1.html|1]] |*/
/*| bind		| 9.11.3	| 9.11.4-P1	| [[https://kb.isc.org/article/AA-01634/81/BIND-9.11.4-Release-Notes.html|1]] [[https://kb.isc.org/article/AA-01644/81/BIND-9.11.4-P1-Release-Notes.html|2]] |*/
/*|unbound	| 1.7.1		| 1.7.3		| [[http://www.unbound.net/download.html|1]]	|*/

De updates zijn inmiddels op het testcluster doorgevoerd, zodat er op
woensdag 17 oktober gelegenheid is om de nieuwe versies te testen.

Het schema voor de productie clusters is als volgt:
/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^ wat ^ actie ^ impact ^ wanneer ^
/*|apache		|herstart webservers		|geen	|27 augustus 8:00 -- 12:00	|*/
/*|nginx		|herstart webservers		|geen	|24 september 8:00 -- 12:00	|*/
|php		|herstart applicatieservers	|geen 	|18 oktober 8:00 -- 12:00	|
/*|passenger	|herstart Ruby-on-Rails applicaties	|geen	|24 september 8:00 -- 12:00	|*/
/*|python		|herstart applicatieservers	|geen	|11 juni 8:00 -- 12:00	|*/
/*|java		|herstart niet geclusterde applicaties als Tomcat, ActiveMQ, Graylog en Junction |ongeveer 1-5 min downtime per instantie |28 augustus 1:00 -- 6:00	|*/
/*|ImageMagick	|nieuwe versie wordt actief	|geen							|24 september 8:00 -- 12:00	|*/
/*|mariadb	|herstart databases		|2 korte onderbrekingen naar de database instanties	|28 augustus 1:00 -- 6:00	|*/
/*|mysql		|herstart databases		|2 korte onderbrekingen naar de database instanties	|28 augustus 1:00 -- 6:00	|*/
/*|memcached	|herstart Memcached instanties	|memory caches worden gecleared				|29 augustus 8:00 -- 12:00	|*/
/*|openssh	|herstart openssh		|geen, bestaande sessies blijven bestaan		|25 september 8:00 -- 12:00	|*/
/*|postfix	|herstart mailservers		|geen							|12 juni 8:00 -- 12:00	|*/
/*|bind		|herstart nameservers		|geen							|29 augustus 8:00 -- 12:00	|*/
/*|unbound	|herstart dns-resolvers		|geen							|29 augustus 8:00 -- 12:00	|*/
/*|java		|herstart wel geclusterde applicaties als Elastic Search	|geen			|29 augustus 13:00 -- 17:00	|*/
/*|postgresql	|herstart databases		|1 korte onderbreking naar de database instanties	|26 september 1:00 -- 5:00	|*/
/*|tomcat		|herstart java applicaties	|ongeveer 1-5 min downtime per instantie		|26 september 1:00 -- 5:00 |*/