CVE-2019-11043 a php-fpm

jose1711 · November 20, 2019, 10:04pm

dovolujem si upozornit na https://nvd.nist.gov/vuln/detail/CVE-2019-11043 s moznostou RCE a existujucim exploitom: https://securityaffairs.co/wordpress/94004/malware/nextcry-ransomware-nextcloud-instances.html

aktualne je php v turrise neopatchovane a teda zranitelne. vid tiez https://www.php.net/ChangeLog-7.php#PHP_7_1

Pepe · November 21, 2019, 7:29am

Děkujeme za nahlášení. Pracujeme na aktualizaci balíčku php7 ve všech verzích OpenWrt.

Pepe · November 24, 2019, 5:32pm

Ve vývojářské větvi pro verzi Turris OS 3.x jsme aktualizovali php7 na nejnovější verzi tedy 7.1.33. Pokud vše půjde hladce, tak se objeví v následujícím releasu Turris OS 3.11.10. Co se týče Turris OS 4.0 (založené na 18.06.xx), Turris OS 5.0 (19.07.xxx) a Turris OS 6.0 (nyní master), tak jsme poslali pull request do repozitáře packages pro OpenWrt a tedy brzy by se verze 7.2.25 měla objevit ve všech verzích OpenWrt a tedy i u nás.

lzap · December 7, 2019, 11:06am

Díky, kdy tedy můžeme čekat že se to objeví ve stabilní verzi Turris Omnia? OpenWRT to již má, jak často se dělá rebase?

Je možné stáhnout balíček ručně a nainstalovat?

Pepe · December 7, 2019, 11:36am

To záleží jakou verzi Turris OS máte nainstalovanou na routeru.

Pokud se jedná o verzi Turris OS 3.x, tak k vydání Turris OS 3.11.10 ve které je php7 aktualizované a zároveň CVE-2019-11043 opravené, došlo před 3 dny.
Pokud se bavíme o Turris OS 4.x, která je založená na verzi OpenWrt 18.06, tak to bude opravené ve verzi Turris OS 4.0.2, kde aktuálně řešíme problém v kernelu a při připojení k Wi-Fi síti dochází k opakovaným restartům routeru.

Jestliže máte verzi Turris OS 4.0.1, tak aktualizované balíčky php7 lze stáhnout z https://repo.turris.cz/hbk/

Jestli byste měl zájem o vyzkoušení Turris OS 5.x (založené na aktuální RC verzi OpenWrt 19.07), tak to lze pomocí příkazu switch-branch hbd, kde se problém s kernelem nenachází, ale je potřeba mít Turris OS 4.x, případně lze použít medkit z daného repozitáře na repo.turris.cz. To samé platí v případě Turris OS 6.x (aktuální OpenWrt master).

Rebase se nedělá viz naše workflow.

lzap · December 7, 2019, 3:33pm

Díky, přiznám se že nevím jak zjistím verzi Turris OS nebo OpenWRT. Jdu to zjistit.

lzap · December 7, 2019, 3:50pm

Jsem zmaten, co že to mám za verzi? Mám backer edici, tzn. tu první a nic jsem nepřeflashovával.

OpenWrt omnia 15.05 r47055 / LuCI fd63d5cc7dfc69c640b741dceb80555141a80670 branch (git-19.318.61483-fd63d5c)

lzap · December 7, 2019, 4:02pm

Takže mám verzi 3.11.