aankondigingen:2018:php-remote-code-execution

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

aankondigingen:2018:php-remote-code-execution [2020/05/20 05:30] (current)
Line 1: Line 1:
 +~~META:
 +title = C2018D12: PHP-7 Arbitrary Code Execution
 +~~
 +====== C2018D12: PHP-7 Arbitrary Code Execution ======
 +
 +====== Klantcommunicatie ======
 +
 +==== Aankondigingen ====
 +
 +=== Aankondiging:​ Spoed PHP update hosting omgeving ===
 +
 +Beste Klant / collega,
 +
 +in PHP-7 zijn recent een aantal kwetsbaarheden ontdekt die kunnen leiden
 +tot het
 +[[https://​www.cisecurity.org/​advisory/​multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2018-113/​|uitvoeren
 +van arbitraire code]].
 +Vanwege het hoge risico dat hieraan kleeft zullen we de update naar een
 +nieuwere versie van php waarin deze problemen opgelost zijn versneld
 +uitvoeren, te weten op 18 oktober.
 +
 +/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
 +^ wat ^ van ^ naar ^ changelog ^
 +/*| apache | 2.4.33 | 2.4.34 | [[http://​www.apache.org/​dist/​httpd/​CHANGES_2.4.34|1]] |*/
 +/*| nginx | 1.15.2 | 1.15.3 | [[http://​nginx.org/​en/​CHANGES|1]] |*/
 +/*| php 5.6 | 5.6.37 | 5.6.38 | [[http://​php.net/​ChangeLog-5.php#​5.6.37 |1]] |*/
 +| php 7.1 | 7.1.22 | 7.1.23 | [[http://​php.net/​ChangeLog-7.php#​7.1.23|1]] |
 +| php 7.2 | 7.2.10 | 7.2.11 | [[http://​php.net/​ChangeLog-7.php#​7.2.11|1]] |
 +/*| passenger 5 | 5.0.21 | 5.3.4 | [[https://​github.com/​phusion/​passenger/​blob/​stable-5.3/​CHANGELOG|1]] |*/
 +/*| python | 2.7.14 | 2.7.15 | [[https://​www.python.org/​downloads/​release/​python-2715/​|1]] |*/
 +/*| python | 3.6.4 | 3.6.5 | [[https://​www.python.org/​downloads/​release/​python-365/​|1]] |*/
 +/*| java 1.8 | 1.8.0_172 | 1.8.0_181 | [[http://​www.oracle.com/​technetwork/​java/​javase/​8u181-relnotes-4479407.html|1]] |*/
 +/*| tomcat 8 | 8.0.15 / 8.0.30 | 8.5.33 | [[https://​tomcat.apache.org/​tomcat-8.5-doc/​changelog.html|1]] |*/
 +/*| ImageMagick 6 | 6.7.2.7 / 6.9.7-5 | 6.9.10-11 | [[https://​www.imagemagick.org/​script/​changelog.php|1]] |*/
 +/*| ImageMagick 7 | 7.0.4-5 | 7.0.8-11 | [[https://​www.imagemagick.org/​script/​changelog.php|1]] |*/
 +/*| memcached | 1.5.8 | 1.5.10 | [[https://​github.com/​memcached/​memcached/​wiki/​ReleaseNotes1510|1]] |*/
 +/*| mariadb | 10.2.15 | 10.2.17 | [[https://​mariadb.com/​kb/​en/​library/​mariadb-10216-release-notes/​|1]] [[https://​mariadb.com/​kb/​en/​library/​mariadb-10217-release-notes/​|2]] |*/
 +/*| mysql | 5.7.22 | 5.7.23 | [[https://​dev.mysql.com/​doc/​relnotes/​mysql/​5.7/​en/​news-5-7-23.html|1]] |*/*/
 +/*| postgresql 8 | 8.1.5 | 9.6.10 | [[https://​www.postgresql.org/​docs/​9.6/​static/​release.html|1]]|*/​
 +/*| postgresql 9.4| 9.4.5 | 9.4.19 | [[https://​www.postgresql.org/​docs/​9.4/​static/​release.html|1]]|*/​
 +/*| postgresql 9.6| 9.6.4 | 9.6.10 | [[https://​www.postgresql.org/​docs/​9.6/​static/​release.html|1]]|*/​
 +/*| openssh | 7.7 | 7.8 | [[https://​www.openssh.com/​releasenotes.html|1]] |*/
 +/*| postfix | 3.2.5 | 3.2.6 | [[http://​www.postfix.org/​announcements/​postfix-3.3.1.html|1]] |*/
 +/*| bind | 9.11.3 | 9.11.4-P1 | [[https://​kb.isc.org/​article/​AA-01634/​81/​BIND-9.11.4-Release-Notes.html|1]] [[https://​kb.isc.org/​article/​AA-01644/​81/​BIND-9.11.4-P1-Release-Notes.html|2]] |*/
 +/​*|unbound | 1.7.1 | 1.7.3 | [[http://​www.unbound.net/​download.html|1]] |*/​
 +
 +De updates zijn inmiddels op het testcluster doorgevoerd,​ zodat er op
 +woensdag 17 oktober gelegenheid is om de nieuwe versies te testen.
 +
 +Het schema voor de productie clusters is als volgt:
 +/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
 +^ wat ^ actie ^ impact ^ wanneer ^
 +/​*|apache |herstart webservers |geen |27 augustus 8:00 -- 12:00 |*/
 +/​*|nginx |herstart webservers |geen |24 september 8:00 -- 12:00 |*/
 +|php |herstart applicatieservers |geen |18 oktober 8:00 -- 12:00 |
 +/​*|passenger |herstart Ruby-on-Rails applicaties |geen |24 september 8:00 -- 12:00 |*/
 +/​*|python |herstart applicatieservers |geen |11 juni 8:00 -- 12:00 |*/
 +/​*|java |herstart niet geclusterde applicaties als Tomcat, ActiveMQ, Graylog en Junction |ongeveer 1-5 min downtime per instantie |28 augustus 1:00 -- 6:00 |*/
 +/​*|ImageMagick |nieuwe versie wordt actief |geen |24 september 8:00 -- 12:00 |*/
 +/​*|mariadb |herstart databases |2 korte onderbrekingen naar de database instanties |28 augustus 1:00 -- 6:00 |*/
 +/​*|mysql |herstart databases |2 korte onderbrekingen naar de database instanties |28 augustus 1:00 -- 6:00 |*/
 +/​*|memcached |herstart Memcached instanties |memory caches worden gecleared |29 augustus 8:00 -- 12:00 |*/
 +/​*|openssh |herstart openssh |geen,​ bestaande sessies blijven bestaan |25 september 8:00 -- 12:00 |*/
 +/​*|postfix |herstart mailservers |geen |12 juni 8:00 -- 12:00 |*/
 +/​*|bind |herstart nameservers |geen |29 augustus 8:00 -- 12:00 |*/
 +/​*|unbound |herstart dns-resolvers |geen |29 augustus 8:00 -- 12:00 |*/
 +/​*|java |herstart wel geclusterde applicaties als Elastic Search |geen |29 augustus 13:00 -- 17:00 |*/
 +/​*|postgresql |herstart databases |1 korte onderbreking naar de database instanties |26 september 1:00 -- 5:00 |*/
 +/​*|tomcat |herstart java applicaties |ongeveer 1-5 min downtime per instantie |26 september 1:00 -- 5:00 |*/
  
  • aankondigingen/2018/php-remote-code-execution.txt
  • Last modified: 2020/05/20 05:30
  • (external edit)