blob: 8c6173d95e00bd7198ec024ddf044368f0e9fec9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
|
#use wml::debian::translation-check translation="2df13a8821c107f651b743e3c0d2b08d994eef36"
<define-tag description>セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>ウェブアプリケーションの開発に広く利用されている多目的スクリプティング言語
PHP に脆弱性が複数見つかっています:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0185">CVE-2014-0185</a>
<p>デフォルトの PHP FPM ソケット権限が 0666 から 0660 に変更され、
細工した FastCGI クライアントを経由してアクティブなFPMプロセスの
ユーザの権限でのPHPコードの実行をあらゆるローカルユーザに許す
PHP FPM のセキュリティ脆弱性 (<a
href="https://security-tracker.debian.org/tracker/CVE-2014-0185">CVE-2014-0185</a>)
を緩和します。</p>
<p>Debian ではデフォルトの php-fpm.conf で、listen.owner と
listen.group に www-data:www-data を正しくセットするようになっています。
FPMを他にも使っている場合やウェブサーバを www-data
以外のユーザで実行している場合は、/etc/php5/fpm/pool.d/ 以下で FPM
プールの設定を調整してアクセスするプロセスにソケットに\
アクセスする権限を与える必要があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0237">CVE-2014-0237</a> /
<a href="https://security-tracker.debian.org/tracker/CVE-2014-0238">CVE-2014-0238</a>
<p>fileinfo モジュールのCDFパーサでのサービス拒否。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2270">CVE-2014-2270</a>
<p>fileinfo モジュールでのサービス拒否。</p></li>
</ul>
<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 5.4.4-14+deb7u10 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション
(sid) ではこの問題は近く修正予定です。</p>
<p>直ちに php5 パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2943.data"
|
