サーバーのセットアップ:
- CentOS リリース 5.10 (最終)
- WHM11.40.0 (26)
- EasyApache 3.22.24 rev9999 コンパイル済み apache 2.2.26 および PHP 5.3.27 (SuHosin 0.9.33 付き)
私はすでに PHP 5.3.27 をインストールしていました (CVE-2013-4248 のほとんどのドキュメント/パッチが公開される前から)。そのため、ローカルに最新バージョンがすでにあると認識された場合、パッチを適用したバージョンをどこからでもダウンロードしているかどうかはわかりません。ログを見ると、これが私が心配していることです。
また、どうやら PHP の周辺 RPM パッケージのみがインストールされているようで、次のようなコマンドを実行すると、rpm -q --changelog php53
「パッケージがありません」というメッセージが表示されます。
このコマンドは、
php -v
ioncube などのバージョンとともにバージョン番号の総体的な出力を返すだけです。
find必要な情報が含まれている、確認できるローカルの変更ログ ファイルはありますか?コマンドを使用しても、コア PHP ファイルがあるディレクトリを調べても、見つけることができません。
私は特に修正に向けた変更やパッチを探しています2013-4248 の脆弱性。
ありがとうございます。Web 上での検索や閲覧に数時間を費やしましたが、私の Linux 環境に特有の答えはまだ見つかりません。
答え1
Red Hatのパッケージではなく、アップストリームPHPを直接使用しています。Red Hatはセキュリティ修正をバックポートした独自のPHPパッケージ、PHP自体してないセキュリティ修正をリリースしました。PHPはこの問題のみを修正しました5.4および5.5の場合したがって、Red Hat のパッケージを使用するか、5.4/5.5 にアップデートする必要があります。