USN-3382-2: PHP vulnerabilities

Ubuntu ปล่อยอัพเดทเพื่ออุดช่องโหว่ใน PHP โดยมีรายละเอียดของช่องโหว่ดังนี้

CVE-2016-10397: ช่องโหว่ที่พบว่า PHP URL parser มีการทำงานที่ผิดปกติกับตัว URI ทำให้ผู้ที่โจมตีสามารถใช้ช่องโหว่นี้เพื่อหลบหลีกการตรวจสอบ hostname-specific URL ได้

CVE-2017-11143: ช่องโหว่ที่พบว่ามีการทำงานที่ผิดปกติของ PHP กับ Boolean Parameter บางตัว เมื่อเป็น unserialized data ทำให้ผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP เกิด crash และใช้การไม่ได้(Denial of Service)

CVE-2017-11144: ช่องโหว่นี้ถูกพบโดย Sebastian Li, Wei Lei, Xie Xiaofei, and Liu Yang พบว่า PHP มีการทำงานที่ผิดปกติในการจัดการ OpenSSL sealing function ซึ่งผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP ใช้การไม่ได้เช่นกัน (Dos)

CVE-2017-11145: Wei Lei และ Liu Yang พบอีกช่องโหว่ใน extension ที่เกี่ยวกับตัววันที่ของ PHP ในการจัดการหย่วยความจำ(Memory) ซึ่งส่งผลให้ผู้ที่โจมตีสามารถเข้าถึงข้อมูลสำคัญของเซิร์ฟเวอร์ได้

CVE-2017-11147: พบช่องโหว่ของการจัดเก็บไฟล์แบบ PHAR ใน PHP ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ หรือเข้าถึงข้อมูลสำคัญจากตัวเซิร์ฟเวอร์ได้ โดยช่องโหว่ตัวนี้จะมีผลกระทบกับแค่ Ubuntu 14.04 LTS

CVE-2017-11628: Wei Lei และ Liu Yang พบช่องโหว่ที่การทำ parsing ไฟล์สกุล .ini ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ (Dos)

และช่องโหว่สุดท้ายคือตัว PHP mbstring ในการทำงานกับ Regular Expressions บางตัว ซึ่งทำให้ผู้โจมตีสามารถทำให้ PHP เกิดการ crash และใช้งานไม่ได้ หรือทำการรัน arbitrary code (CVE-2017-9224, CVE-2017-9226, CVE-2017-9227, CVE-2017-9228, CVE-2017-9229)

ข้อแนะนำคือให้ทำการอัพเดทเวอร์ชัน โดยขั้นตอนในการอัพเดทสามารถดูได้จากลิงค์ด้านล่างนี้ (https://wiki.ubuntu.com/Security/Upgrades)

ที่มา : Ubuntu