Configuração do servidor:
- Versão CentOS 5.10 (final)
- WHM 11.40.0 (26)
- EasyApache 3.22.24 rev9999 compilou Apache 2.2.26 e PHP 5.3.27 com SuHosin 0.9.33
Eu já tinha o PHP 5.3.27 instalado (desde antes do lançamento da maioria dos documentos/patches para CVE-2013-4248), então não tenho certeza se ele está baixando a versão corrigida de qualquer lugar se achar que já possui a versão mais recente localmente. Olhando os registros, é disso que tenho medo.
Além disso, aparentemente existem apenas pacotes PHP RPM periféricos instalados, portanto, executar um comando como: rpm -q --changelog php53
gera uma mensagem "sem pacote".
o comando
php -v
apenas me fornece a produção bruta do número da versão junto com as versões do ioncube, etc.
Existe um arquivo de changelog local que possa verificar se contém as informações que desejo? Simplesmente não consigo encontrar um com o findcomando ou olhando os diretórios com os principais arquivos php neles.
Estou procurando especificamente alterações/patches feitos para corrigirCVE-2013-4248.
Obrigado, passei várias horas pesquisando/lendo na web e ainda não tenho uma resposta específica para meu tipo de Linux/etc.
Responder1
Você está usando PHP upstream diretamente, em vez dos pacotes da Red Hat. Embora a Red Hat tenhabackportou a correção de segurançapara seus próprios pacotes PHP, o próprio PHPnão temlançou uma correção de segurança. PHP apenas corrigiu esse problemapara 5,4 e 5,5, então você deve usar os pacotes da Red Hat ou atualizar para 5.4/5.5.