Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Faille dans PHP < 5.3.1 - Comment patcher

1347757400_240969c0d1_b

C’est John, fidèle lecteur de Korben.info qui m’a alerté de cette faille touchant toutes les versions de PHP < 5.3.1. L’exploit consiste à balancer un nombre important de fichiers en upload (+15 000), ce qui force PHP a créer autant de fichiers temporaires, le surchargeant jusqu’à ce que le serveur ne réponde plus. Et ne vous y trompez pas, même si vous n’avez pas de formulaire d’envoi de fichier sur votre site, la faille reste quand même exploitable.

Du coup, pour vous protéger, plusieurs solutions possibles (A vous de choisir) :

  • Mettre la variable « file_uploads = Off » dans le php.ini, ce qui aura pour effet de désactiver complétement l’upload de fichiers
  • Installer PHP >= 5.3.1, qui intègre un patch. Il suffit ensuite de limiter ce nombre d’upload simultannés à 20 par exemple grâce à la variable max_file_uploads dans php.ini
  • Appliquer le patch Suhosin

Pour mettre en place le patch Suhosin, voici comment faire :

sudo apt-get install php5-suhosin

sudo nano /etc/php5/apache2/conf.d/suhosin.ini

et rajouter :

; configuration for php suhosin module
extension=suhosin.so
[suhosin]
suhosin.upload.max_uploads = 25

Relancez ensuite Apache et le tour est joué ! D’ailleurs, je vous recommande d’aller jeter un oeil sur le site de Suhosin pour voir tout ce que propose ce patch pour améliorer la sécurité sur votre serveur.

Encore merci à John pour avoir partager cette info avec nous. Vous aurez plus de détails en allant sur son site et ici.

[photo]


SQLI recrute un Directeur de Projets Informatique Senior

Nous favorisons la mobilité au sein du Groupe afin de répondre au mieux aux souhaits de chacun

Nous recrutons des férus de technologies, des talents créatifs, de jeunes consultants ainsi des jeunes diplômés, issus d’écoles d’ingénieurs, de commerce ou d’universités, en développement, consulting, UX/UI, mais aussi des experts en agilité, architecture et management de projet.

Sous la responsabilité du Delivery Manager, vous aurez en charge le pilotage de grands projets et/ou de projets stratégiques en nouvelles technologies, d’équipes multi-compétences et de partenaires.

Vous aurez pour principale mission :

Assurer le pilotage de ces projets et mobiliser les énergies pour en garantir l’aboutissement dans le respect des engagements et des enjeux stratégiques
Assumer la responsabilité globale du projet et la coordination des différents acteurs (au sein de SQLI mais aussi différents départements chez le client, éditeurs, sous-traitants)
Conseiller et assurer le soutien aux Chefs de projet

Et bien d’autres fonctions qui vous assurerons des responsabilités riches et variées, bref l’ennui est impossible.

Découvrir le job