CVE-2019-11043 a php-fpm

dovolujem si upozornit na https://nvd.nist.gov/vuln/detail/CVE-2019-11043 s moznostou RCE a existujucim exploitom: https://securityaffairs.co/wordpress/94004/malware/nextcry-ransomware-nextcloud-instances.html

aktualne je php v turrise neopatchovane a teda zranitelne. vid tiez https://www.php.net/ChangeLog-7.php#PHP_7_1

Děkujeme za nahlášení. Pracujeme na aktualizaci balíčku php7 ve všech verzích OpenWrt.

Ve vývojářské větvi pro verzi Turris OS 3.x jsme aktualizovali php7 na nejnovější verzi tedy 7.1.33. Pokud vše půjde hladce, tak se objeví v následujícím releasu Turris OS 3.11.10. Co se týče Turris OS 4.0 (založené na 18.06.xx), Turris OS 5.0 (19.07.xxx) a Turris OS 6.0 (nyní master), tak jsme poslali pull request do repozitáře packages pro OpenWrt a tedy brzy by se verze 7.2.25 měla objevit ve všech verzích OpenWrt a tedy i u nás.

3 Likes

Díky, kdy tedy můžeme čekat že se to objeví ve stabilní verzi Turris Omnia? OpenWRT to již má, jak často se dělá rebase?

Je možné stáhnout balíček ručně a nainstalovat?

To záleží jakou verzi Turris OS máte nainstalovanou na routeru.

  • Pokud se jedná o verzi Turris OS 3.x, tak k vydání Turris OS 3.11.10 ve které je php7 aktualizované a zároveň CVE-2019-11043 opravené, došlo před 3 dny.
  • Pokud se bavíme o Turris OS 4.x, která je založená na verzi OpenWrt 18.06, tak to bude opravené ve verzi Turris OS 4.0.2, kde aktuálně řešíme problém v kernelu a při připojení k Wi-Fi síti dochází k opakovaným restartům routeru.

Jestliže máte verzi Turris OS 4.0.1, tak aktualizované balíčky php7 lze stáhnout z https://repo.turris.cz/hbk/

  • Jestli byste měl zájem o vyzkoušení Turris OS 5.x (založené na aktuální RC verzi OpenWrt 19.07), tak to lze pomocí příkazu switch-branch hbd, kde se problém s kernelem nenachází, ale je potřeba mít Turris OS 4.x, případně lze použít medkit z daného repozitáře na repo.turris.cz. To samé platí v případě Turris OS 6.x (aktuální OpenWrt master).

Rebase se nedělá viz naše workflow.

1 Like

Díky, přiznám se že nevím jak zjistím verzi Turris OS nebo OpenWRT. Jdu to zjistit.

Jsem zmaten, co že to mám za verzi? Mám backer edici, tzn. tu první a nic jsem nepřeflashovával.

OpenWrt omnia 15.05 r47055 / LuCI fd63d5cc7dfc69c640b741dceb80555141a80670 branch (git-19.318.61483-fd63d5c)

Takže mám verzi 3.11.