Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 19/10/2015, à 14:38

garfieldfr

[RESOLU] PHP5.6 : quel dépôt prendre ?

Bonjour,

J'ai un serveur 14.04 LTS avec le paquet PHP (5.5.9). C'est une serveur d'entreprise mais non critique (stat du serveur web).
Il faudrait que je passe sous la dernière version de PHP (5.6.14 idéalement)
J'ai trouvé assez facilement la procédure mais je me pose la question de la validité du dépôt.
Dans toutes les procédures que j'ai trouvé, il faut ajouter le dépôt ppa:ondrej mais ce dépôt est il sur ? La version compilé de PHP est elle standard ou patché par le mainteneur ...

Pourquoi je me pose ces questions? simplement parce que j'ai rencontré le problème avec les paquets PHP 5.6 sous CentOS et que j'aimerais éviter d'avoir les mêmes soucis.

Merci

Dernière modification par garfieldfr (Le 27/10/2015, à 10:38)

Hors ligne

#2 Le 21/10/2015, à 01:02

xabilon

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

Salut

Il est aussi sûr que peut l'être un PPA : on ne peut pas savoir. Le responsable du dépôt est apparemment un packageur Debian, à priori ça devrait être sérieux...
Mais il a lui-même noté le dépôt comme "experimental" ici : https://deb.sury.org/pages/bugreporting.html
À mon avis c'est quand même un peu risqué...

As-tu vraiment un besoin urgent de PHP 5.6 ? Peux-tu patienter jusqu'à la prochaine LTS en avril 2016, qui aura PHP5.6 ?

Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#3 Le 21/10/2015, à 09:43

garfieldfr

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

Salut,

Et merci pour ta réponse.
Le soucis c'est que nous utilisons des outils de scan sécurité et le fait d'être en 5.5.9 remonte une série d'alerte ... ce qui fait désordre dans le rapport.
Après, s'il n'y a pas de dépôt pour 5.6 j'attendrais avril 2016. Ca sera la dernière version de PHP qui sortira avec la prochaine LTS ?

Sinon la solution c'est de faire un package à partir des sources... plus compliqué ca... Il y a un tuto quelque part ?

Hors ligne

#4 Le 21/10/2015, à 10:03

bruno

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

Bonjour,

Je te déconseille l'utilisation de ce ppa sur un serveur en production. C'est une opération à haut risque.

Le motif que tu avances pour passer à PHP5.6 ne me paraît pas légitime.
Tes outils d'audit remontent des alertes de sécurité, lesquelles ? Il s'agit sûrement de failles connues. Elles ont très probablement déjà été corrigées via les mises à jour de sécurité et l'outil ne devrait plus envoyer d'alerte ou alors c'est un mauvais outil.
De plus rien ne te permet de supposer que tes outils n'enverront pas d'autres alertes avec PHP en version 5.6.

Hors ligne

#5 Le 21/10/2015, à 11:36

Alex10336

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

garfieldfr a écrit :

Après, s'il n'y a pas de dépôt pour 5.6 j'attendrais avril 2016. Ca sera la dernière version de PHP qui sortira avec la prochaine LTS ?

Les versions de php5 dispos sur les différentes versions de ubuntu: http://packages.ubuntu.com/php5
La 5.6.x arrive avec vivid et wily aura la version 5.6.11 (ou plus)

Dernière modification par Alex10336 (Le 21/10/2015, à 11:36)

« On ne répond pas à une question par une autre question. » (moi ;-) )

Hors ligne

#6 Le 21/10/2015, à 12:22

xabilon

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

Donc la 16.04 aura au moins PHP 5.6.11.
Si tu veux compiler : https://vpsineu.com/blog/how-to-build-a … 14-04-vps/
mais il vaudrait mieux que tu étudies ces alertes pour voir si elles sont justifiées.

Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

Hors ligne

#7 Le 23/10/2015, à 15:57

garfieldfr

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

xabilon a écrit :

mais il vaudrait mieux que tu étudies ces alertes pour voir si elles sont justifiées.

Je crois que je vais en effet commencé par ça histoire de voir si les failles concernent bien des fonctionnalités de PHP effectivement utilisées.

Sinon, pour mon information personnel :

xabilon a écrit :

Si tu veux compiler : https://vpsineu.com/blog/how-to-build-a … 14-04-vps/

Tu aurais un tuto pour construire un paquet à partir des sources(ou binaires) PHP ?

Dernière modification par garfieldfr (Le 23/10/2015, à 16:02)

Hors ligne

#8 Le 26/10/2015, à 18:50

garfieldfr

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

bonjour,

En effet, après vérification je reste avec 3 CVEs : CVE-2013-6501 , CVE-2014-3981 et CVE-2014-5459 pour lesquels je n'ai pas assez d'informations.

Hors ligne

#9 Le 26/10/2015, à 22:36

tiramiseb

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

Salut,

Ces trois vulnérabilités sont mineures et ne sont exploitables que localement.
Il est clair qu'il eut été préférable qu'elles aient été corrigées dans Debian et Ubuntu, mais si les mainteneurs ne l'ont pas fait, c'est qu'ils ont une raison (deux possibilités : soit le rapport difficulté de résolution/dangerosité est trop élevé, soit la faille n'est pas exploitable en raison d'une particularité de configuration de Debian et Ubuntu)...

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#10 Le 26/10/2015, à 22:54

tiramiseb

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

d'après ce que j'ai compris :
CVE-2013-6501 : cette faille n'est exploitable que localement ; il s'agit d'un simple paramètre qu tu peux changer si tu veux, rendant l'attaque impossible - de plus, cette attaque ne peut se faire que si tu utilises l'extension SOAP et son cache WSDL ;
CVE-2014-3981 : lors de sa compilation, PHP utilise un nom de fichier invariant, permettant à un utilisateur local de faire une injection de code ; une fois PHP compilé, cette faille n'est plus exploitable ;
CVE-2014-5459 : faille exploitable par une personne ayant un compte local, uniquement au moment où un administrateur installe un paquet PHP en utilisant PEAR - tant que tu n'utilises pas PEAR, ce n'est pas exploitable - tant que personne d'autre n'est connecté quand tu utilises PEAR, ce n'est pas exploitable.

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#11 Le 27/10/2015, à 10:36

garfieldfr

Re : [RESOLU] PHP5.6 : quel dépôt prendre ?

tiramiseb a écrit :

d'après ce que j'ai compris :
CVE-2013-6501 : cette faille n'est exploitable que localement ; il s'agit d'un simple paramètre qu tu peux changer si tu veux, rendant l'attaque impossible - de plus, cette attaque ne peut se faire que si tu utilises l'extension SOAP et son cache WSDL ;
CVE-2014-3981 : lors de sa compilation, PHP utilise un nom de fichier invariant, permettant à un utilisateur local de faire une injection de code ; une fois PHP compilé, cette faille n'est plus exploitable ;
CVE-2014-5459 : faille exploitable par une personne ayant un compte local, uniquement au moment où un administrateur installe un paquet PHP en utilisant PEAR - tant que tu n'utilises pas PEAR, ce n'est pas exploitable - tant que personne d'autre n'est connecté quand tu utilises PEAR, ce n'est pas exploitable.

Ha ca merci !!!
A part SOAP j'ai plus rien à vérifier !! Je vais regarder ce qu'il faut faire

Merci

Hors ligne

Pages : 1