伺服器設定:
- CentOS 版本 5.10(最終版)
- WHM 11.40.0 (26)
- EasyApache 3.22.24 rev9999 編譯了 apache 2.2.26 和 PHP 5.3.27 w/ SuHosin 0.9.33
我已經安裝了 PHP 5.3.27(因為在 CVE-2013-4248 的大多數文件/修補程式發布之前),所以我不確定它是否從任何地方下載修補版本(如果它認為本地已經有最新版本)。看看日誌,這就是我擔心的。
另外,顯然只安裝了外圍 PHP RPM 軟體包,因此執行以下命令rpm -q --changelog php53
會產生「無軟體包」訊息。
該命令
php -v
只是給我版本號碼以及 ioncube 等版本的總輸出。
是否有本地變更日誌檔案可以檢查其中包含我想要的資訊?我根本無法透過命令find或查看其中包含核心 php 檔案的目錄來找到它。
我專門尋找用於修復的更改/補丁CVE-2013-4248。
謝謝,我花了幾個小時在網上搜索/閱讀,但仍然沒有針對我的 Linux/等風格的答案。
答案1
您直接使用上游 PHP,而不是 Red Hat 的軟體包。雖然紅帽有向後移植安全修復程序到他們自己的 PHP 包,PHP 本身沒有發布了安全修復程式。 PHP只修復了這個問題適用於 5.4 和 5.5,因此您應該使用 Red Hat 的軟體包,或更新至 5.4/5.5。