Debian Wheezy – php5 Paket wird wegen Cron Fehler zurückgeholt

Nachdem am 18.11.2014 ein neues Sicherheitsupdate für PHP veröffentlicht wurde, kam es zu einem Problem mit Cron. Heute wurde nun das Sicherheitsupdate wieder zurück geholt.

Das Paket vom 18.11. – Debian Security Advisory DSA-3074-1

Betroffen ist das PHP5 Paket, dass den Debian Bug 68283 mit einer möglichen Sicherheitslücke in PHP-Dateien beheben sollte. Es wurde das PHP Paket in Version 5.4.35 für Wheezy, das auch weitere Bug fixe und Features enthielt, freigegeben. In Wheezy ist dies mit der Version 5.4.35-0+deb7u1 behoben worden.

Wer dieses Paket installiert hatte, erhielt unter Umständen sofort nach dem nächsten lauf des Cronjob von PHP folgende Meldugn:

Cron <root@vsrv03> [ -x /usr/lib/php5/maxlifetime ] && [ -x /usr/lib/php5/sessionclean ] && [ -d /var/lib/php5 ] && /usr/lib/php5/sessionclean /var/lib/php5 $(/usr/lib/p….

sed: Ungültige Option — z

Ein kurzer Blick in die Jobs zeigte, selbstverständlich auch, dass hier die Option -z verwendet wird, jeodch war für mich auf die schnelle keine Lösung möglich.

Heute nun am 19.11.2014, also einen Tag später, holen die Securityverantwortlichen mit dem Debian Security Advisory DSA-3074-2 das obige Paket zurück und beheben es mit dem PHP Paket in Version 5.4.35-0+deb7u2.

Damit jedoch das ursprüngliche Sicherheitsrisiko nicht ausgenutzt werden kann, wird empfohlen die Kernel Symlink Protection zu aktivieren (sysctl fs.protected_symlinks=1).  Was jedoch bei Debian Wheezy, der aktuellen Stable, standardmäßig aktiviert ist und laut dem Advisory ausreichen soll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.