[Faille] Release2 : faille de sécurité (no PHP on eth0)

Bruno · **Inscription:** Ven 4 Jan 2008 00:04 **Messages:** 215

Sévérité : critique
Statut : patché

Un défaut dans la configuration du serveur Apache sur la distribution Release2 OVH ouvre une faille sur les serveurs RPS : tout document PHP appelé depuis l'adresse IP fixe (eth0) n'est pas interprété, le code source étant visible.

Il faut appliquer le patch de mise à jour

Code:

wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh; sh patch-all.sh

Pour ceux qui ont modifié la configuration de leur release :

Code:

wget ftp://ftp.ovh.net/made-in-ovh/release/patch-phphandler.sh -O patch-phphandler.sh; sh patch-phphandler.sh

-----------------------------------------------
L'annonce officielle est passée sur la ML rps :

Une vulnérabilité a été constatée dans la configuration apache sur les RPS
installés en Release2 OVH.

Citation:

Le problème est résolu par la version 2.14 de la release que vous pouvez
appliquer de la façon suivante:
wget ftp://ftp.ovh.net/made-in-ovh/release/patch-all.sh -O patch-all.sh; sh
patch-all.sh

Vous pouvez également appliquer le patch directement (si vous êtes hors
release) :
wget ftp://ftp.ovh.net/made-in-ovh/release/p ... handler.sh -O
patch-phphandler.sh; sh patch-phphandler.sh

Nous sommes en train de patcher tous les serveurs RPS auquel nous avons
l'accès.

cordialement,

L'équipe serveur dédiés.

[Faille] Release2 : faille de sécurité (no PHP on eth0)

Qui est en ligne