Nextcloud nginx-fpm update required

Yo!

https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/

In case you missed it!

C’est fait , merci à toi pierre (tu as aussi cette alerte dans un autre sujet)
++

Déjà fait chez @elukerio depuis hier après-midi. Mais merci d’avoir créé le post :wink:

Parfait je viens de m’abonner a l’autre thread alors et désolé pour le doublon!

Je confirme qu’il y a de l’exploit dans l’air, je connais au moins une instance (que je ne gère pas) où du root-shell a été retrouvé.

Je trouve par contre:

  1. l’annonce peut claire
  2. les solutions mal décrites (mise à jour de php-fpm et/ou correction dans la config nginx ?)
  3. le manque de dispo de php-fpm corrigé dans un délais raisonnable vu la gravité

Si j’ai bien compris, c’est le combo php-fpm + config nginx de nextcloud inadaptée qui permet l’exploit et donc en corrigeant l’un ou l’autre c’est bon.

Question subsidiaire pour faire réfléchir: pour les instances déployées « à l’aveugle » via docker ou autre (ce qui n’est pas mon cas)… comment s’assurer qu’on est clean ou pas ?

Ca fait des années que c’est ainsi …
Que les appli web sont trouvées vérolées (+ celles que le petit malin s’est bien gardé de vous signaler pour l’exploiter peinard pendant … bien longtemps !).
Et ca ne changera pas.

Cela veut dire que :

  1. Il a une flotte de zombie qui vient de s’agrandir d’un bon paquet de serveur (on compte le nombre d’instance NC ??? pour rire … ),
  2. sans une isolation propre et conceptuelle de vos services exposés : la sécurité n’est pas assurée !
    La crypto ne peut rien pour vous dans ce cas …

cquest tu es taquin avec Docker … sur le coup. On est tous concerné par ce genre de faille qui est … juste inévitable. Docker ou pas ! Peut etre que nos instances Rainloop ou Roundcube en ont aussi … mais on le sait pas.
Et il y en a surement meme …

Edit : ben vu, la mise à jour PHP : oui elles l’étaient !

bOn dimanche.

Les update php Debian stretch sont en train de tomber !

Get:1 https://packages.sury.org/php stretch/main amd64 php7.3-zip amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [20.2 kB]
Get:2 https://packages.sury.org/php stretch/main amd64 php7.3-intl amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [122 kB]
Get:3 https://packages.sury.org/php stretch/main amd64 php7.3-json amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [18.2 kB]
Get:4 https://packages.sury.org/php stretch/main amd64 php7.3-opcache amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [178 kB]
Get:5 https://packages.sury.org/php stretch/main amd64 php7.3-readline amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [11.7 kB]
Get:6 https://packages.sury.org/php stretch/main amd64 php7.3-cli amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [1373 kB]
Get:7 https://packages.sury.org/php stretch/main amd64 php7.3-fpm amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [1386 kB]
Get:8 https://packages.sury.org/php stretch/main amd64 php7.3-ldap amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [28.0 kB]
Get:9 https://packages.sury.org/php stretch/main amd64 php7.3-mysql amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [116 kB]
Get:10 https://packages.sury.org/php stretch/main amd64 php7.3-gd amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [26.6 kB]
Get:11 https://packages.sury.org/php stretch/main amd64 php7.3-xml amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [103 kB]
Get:12 https://packages.sury.org/php stretch/main amd64 php7.3-curl amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [29.0 kB]
Get:13 https://packages.sury.org/php stretch/main amd64 php7.3-mbstring amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [511 kB]
Get:14 https://packages.sury.org/php stretch/main amd64 php7.3-bz2 amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [9778 B]
Get:15 https://packages.sury.org/php stretch/main amd64 php7.3-common amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [562 kB]

Oui et ce n’est pas docker que je critique en tant que tel, mais l’usage qui en découle, c’est à dire les installations « à l’aveugle » où on ne sait pas trop ce qui est contenu, quelle version, comment c’est installé et où les mises à jour ne sont pas si évidentes que ça.

… ben oui , la rapidité , le moindre effort.
ok, c’est une approche.:pleading_face:
Pas la mienne,
HS : l’a l’air bien ton tuto ZFS ! merci.

C’est plus pour faire découvrir les possibilités qu’un vrai tuto…

Précision à propos de cette faille, elle ne concerne pas que Nextcloud mais toutes les apps utilisant php fpm et nginx avec la directive fastcgi_split_path_info et aucun try_files.

Attention également pour le moment debian n’a publié aucun fix de sécu, les correctifs sont dispos sur suri par contre: https://security-tracker.debian.org/tracker/CVE-2019-11043

Si vous ne pouvez pas mettre à jour php via suri vous pouvez probablement changer vos configurations nginx.

Note: cette CVE existe depuis le 23 septembre…

1 « J'aime »