tufek
October 26, 2019, 3:38pm
1
Hello tout le monde.
Petite question concernant la faille publiée il y a deux jours:
Dear system administrators, In the last 24 hours, a new security risk has emerged around NGINX, documented in CVE-2019-11043. This exploit allows for remote code execution on some NGINX and php-fpm configurations. If you do not run NGINX, this...
Est. reading time: 2 minutes
Sur mon rpi3 après avoir fait toutes les mises à jour ma version de php-fpm est la suivante:
$ php-fpm7.0 -v
PHP 7.0.33-0+deb9u5 (fpm-fcgi) (built: Sep 18 2019 09:55:34)
et aucune trace des bouts de code à modifier:
location / {
rewrite ^ /index.php$request_uri;
}
et celui commençant par
location ~ ^\/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+)\.php(?:$|\/) {
fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;
dans mon fichier /etc/nginx/nginx.conf
edit: donc pas tellement de possibilité de patcher?
Est-ce qu’on peut commencer à paniquer?
Mon serveur YunoHost
Matériel: rpi 3
Version de YunoHost: 3.6.5.2
Le correction est en cours d’intégration directement dans l’application Nextcloud de Yunohost.
Pour Nginx : Il faut modifier /etc/nginx/cond.d/domainedunextcloud.d/nextcloud.conf
1 Like
tufek
October 26, 2019, 4:16pm
3
Super, merci aux devs
edit: Du coup, comment ça se passe pour ce genre de patch? Est-ce qu’on peut modifier ces fichiers manuellement maintenant sans risquer un conflit plus tard lors d’une prochaine mise à jour? Même si en ce qui me concerne le problème risque de ne pas se poser, puisque nginx râle lorsque j’édite à la main le fichier nextcloud.conf …
journalctl -xe me renvoie :
https://paste.yunohost.org/alunisejus.vbs
metyun
October 26, 2019, 6:15pm
4
Pour info, sur mon serveur yunohost à jour, j’ai appliqué les recommandations y compris la remarque de JimboJoe dès que j’ai eu la notification, reload et restart nginx et tout fonctionne bien après cette modification.
Version de Nextcloud pour Yunohost mise à jour, n’oubliez pas de mettre à jour vos Nextcloud (via l’outil de Yunohost) au plus vite.
Nextcloud version updated, don’t forget to upgrade your Nextcloud (via Yunohost upgrade tool) as soon as possible.
3 Likes
Aleks
October 28, 2019, 11:14pm
6
Apparently Debian released a fix for both Stretch and Buster in the “security” though I dunno if that means you need a special apt repo for it
https://security-tracker.debian.org/tracker/CVE-2019-11043
5 Likes
dosch
November 8, 2019, 9:52am
7
Can I fix this issue by updating PHP alone, or do I also need to make the changes to the NGINX files mentioned above?
Aleks
November 8, 2019, 12:45pm
8
I believe that the upgrade of the php packages should be enough, but I’m not 100% expert about it …
1 Like
system
Closed
November 23, 2019, 12:45pm
9
This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.