Nachdem am 18.11.2014 ein neues Sicherheitsupdate für PHP veröffentlicht wurde, kam es zu einem Problem mit Cron. Heute wurde nun das Sicherheitsupdate wieder zurück geholt.

Das Paket vom 18.11. – Debian Security Advisory DSA-3074-1

Betroffen ist das PHP5 Paket, dass den Debian Bug 68283 mit einer möglichen Sicherheitslücke in PHP-Dateien beheben sollte. Es wurde das PHP Paket in Version 5.4.35 für Wheezy, das auch weitere Bug fixe und Features enthielt, freigegeben. In Wheezy ist dies mit der Version 5.4.35-0+deb7u1 behoben worden.

Wer dieses Paket installiert hatte, erhielt unter Umständen sofort nach dem nächsten lauf des Cronjob von PHP folgende Meldugn:

Cron <root@vsrv03> [ -x /usr/lib/php5/maxlifetime ] && [ -x /usr/lib/php5/sessionclean ] && [ -d /var/lib/php5 ] && /usr/lib/php5/sessionclean /var/lib/php5 $(/usr/lib/p….

sed: Ungültige Option — z

Ein kurzer Blick in die Jobs zeigte, selbstverständlich auch, dass hier die Option -z verwendet wird, jeodch war für mich auf die schnelle keine Lösung möglich.

Heute nun am 19.11.2014, also einen Tag später, holen die Securityverantwortlichen mit dem Debian Security Advisory DSA-3074-2 das obige Paket zurück und beheben es mit dem PHP Paket in Version 5.4.35-0+deb7u2.

Damit jedoch das ursprüngliche Sicherheitsrisiko nicht ausgenutzt werden kann, wird empfohlen die Kernel Symlink Protection zu aktivieren (sysctl fs.protected_symlinks=1).  Was jedoch bei Debian Wheezy, der aktuellen Stable, standardmäßig aktiviert ist und laut dem Advisory ausreichen soll.