PHPの脆弱性情報(CVE-2019-11043)に対応しましょ

2019年10月31日 0 投稿者: ぱる☆ミ

何はともあれ情報源はこちら → https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11043

Description
In PHP versions 7.1.x below 7.1.33, 7.2.x below 7.2.24 and 7.3.x below 7.3.11 in certain configurations of FPM setup it is possible to cause FPM module to write past allocated buffers into the space reserved for FCGI protocol data, thus opening the possibility of remote code execution.

 

ふむふむ。7.2.x系だったら7.2.24以外はRCEの脆弱性がある状態なのね。

 

うちで使っていたPHPのバージョンを確認してみる

$ rpm -qa | grep php

php-php-gettext-1.0.12-1.el6.noarch

(中略)

php-7.2.10-1.el6.remi.x86_64

php-fpm-7.2.10-1.el6.remi.x86_64

(後略)

あらら、7.2.10じゃ全然だめじゃん・・・

 

作業前に /etc/php.ini のバックアップを取って、

# yum remove php-* でパッケージをまとめて一回全削除して

# yum install –disablerepo=* –enablerepo=epel,remi,remi-safe,remi-php72 php で、7.2.X系の最新版をインストールしましょう

読み込んだプラグイン:fastestmirror, security

インストール処理の設定をしています

Loading mirror speeds from cached hostfile

 * epel: nrt.edge.kernel.org

 * remi: ftp.riken.jp

 * remi-php73: ftp.riken.jp

依存性の解決をしています

–> トランザクションの確認を実行しています

(中略)

–> 依存性の処理をしています: libedit-devel(x86-64) のパッケージ: php-devel-7.3.11-1.el6.remi.x86_64

—> Package php-mysqlnd.x86_64 0:7.2.10-1.el6.remi will be 更新

—> Package php-mysqlnd.x86_64 0:7.3.11-1.el6.remi will be an update

–> 依存性解決を終了しました。

エラー: パッケージ: php-devel-7.3.11-1.el6.remi.x86_64 (remi-php73)

             要求: libedit-devel(x86-64)

あれ、エラーだ・・・

慌てずに、足りていないパッケージを追加インストール

 

# yum install libedit-devel

読み込んだプラグイン:fastestmirror, security

インストール処理の設定をしています

Loading mirror speeds from cached hostfile

 * base: ftp.iij.ad.jp

 * epel: nrt.edge.kernel.org

 * extras: ftp.iij.ad.jp

 * updates: ftp.iij.ad.jp

依存性の解決をしています

–> トランザクションの確認を実行しています。

—> Package libedit-devel.x86_64 0:2.11-4.20080712cvs.1.el6 will be インストール

–> 依存性の処理をしています: ncurses-devel のパッケージ: libedit-devel-2.11-4.20080712cvs.1.el6.x86_64

–> トランザクションの確認を実行しています。

—> Package ncurses-devel.x86_64 0:5.7-4.20090207.el6 will be インストール

–> 依存性解決を終了しました。

依存性を解決しました

(中略)

インストール:

  libedit-devel.x86_64 0:2.11-4.20080712cvs.1.el6                                                                                             

依存性関連をインストールしました:

  ncurses-devel.x86_64 0:5.7-4.20090207.el6                                                                                                   

完了しました!

 

はい、OK!

もう一度yumでphpをインストール

 

# yum install –disablerepo=* –enablerepo=epel,remi,remi-safe,remi-php72 php

(中略)

–> 依存性解決を終了しました。

依存性を解決しました

 

ヨシ!

 

最後に、

# ./S84php-fpm stop

# ./S84php-fpm start

これでphp-fpmを再起動して、Webページが正常に表示されていたので動作確認も完了。問題なし!

 

と、いつもPHPのアップデート手順を忘れてしまうので今後のためのメモ書きでした。アップデートというより、アンインストール&再インストールが一番手間がかからないです。