Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Faille dans PHP < 5.3.1 - Comment patcher

1347757400_240969c0d1_b

C’est John, fidèle lecteur de Korben.info qui m’a alerté de cette faille touchant toutes les versions de PHP < 5.3.1. L’exploit consiste à balancer un nombre important de fichiers en upload (+15 000), ce qui force PHP a créer autant de fichiers temporaires, le surchargeant jusqu’à ce que le serveur ne réponde plus. Et ne vous y trompez pas, même si vous n’avez pas de formulaire d’envoi de fichier sur votre site, la faille reste quand même exploitable.

Du coup, pour vous protéger, plusieurs solutions possibles (A vous de choisir) :

  • Mettre la variable « file_uploads = Off » dans le php.ini, ce qui aura pour effet de désactiver complétement l’upload de fichiers
  • Installer PHP >= 5.3.1, qui intègre un patch. Il suffit ensuite de limiter ce nombre d’upload simultannés à 20 par exemple grâce à la variable max_file_uploads dans php.ini
  • Appliquer le patch Suhosin

Pour mettre en place le patch Suhosin, voici comment faire :

sudo apt-get install php5-suhosin

sudo nano /etc/php5/apache2/conf.d/suhosin.ini

et rajouter :

; configuration for php suhosin module
extension=suhosin.so
[suhosin]
suhosin.upload.max_uploads = 25

Relancez ensuite Apache et le tour est joué ! D’ailleurs, je vous recommande d’aller jeter un oeil sur le site de Suhosin pour voir tout ce que propose ce patch pour améliorer la sécurité sur votre serveur.

Encore merci à John pour avoir partager cette info avec nous. Vous aurez plus de détails en allant sur son site et ici.

[photo]

En plus du VPN, vous avez Nordpass, le nouveau gestionnaire de mot de passe à -70%

NordPass est compatible avec les principaux navigateurs: Google Chrome, Mozilla Firefox, Apple Safari. Opera et Microsoft Edge.

Simplicité
NordPass reconnaît vos sites Web préférés et remplit automatiquement vos informations de connexion lors de la connexion.
Faites-vous des achats en ligne ? Stockez les détails de votre carte de crédit et les informations d’expédition pour un paiement plus fluide. C’est smooth, c’est fun c’est sans prise de tête.

Actuellement, le gestionnaire propose -70% sur le prix de l’abonnement.


Les articles du moment