Nextcloud nginx-fpm update required

pierre · Octobre 25, 2019, 1:24

Yo!

https://nextcloud.com/blog/urgent-security-issue-in-nginx-php-fpm/

In case you missed it!

anon6747921 · Octobre 25, 2019, 3:22

C’est fait , merci à toi pierre (tu as aussi cette alerte dans un autre sujet)
++

mablr · Octobre 25, 2019, 5:02

Déjà fait chez @elukerio depuis hier après-midi. Mais merci d’avoir créé le post

pierre · Octobre 25, 2019, 6:12

Parfait je viens de m’abonner a l’autre thread alors et désolé pour le doublon!

cquest · Octobre 26, 2019, 7:57

Je confirme qu’il y a de l’exploit dans l’air, je connais au moins une instance (que je ne gère pas) où du root-shell a été retrouvé.

Je trouve par contre:

l’annonce peut claire
les solutions mal décrites (mise à jour de php-fpm et/ou correction dans la config nginx ?)
le manque de dispo de php-fpm corrigé dans un délais raisonnable vu la gravité

Si j’ai bien compris, c’est le combo php-fpm + config nginx de nextcloud inadaptée qui permet l’exploit et donc en corrigeant l’un ou l’autre c’est bon.

Question subsidiaire pour faire réfléchir: pour les instances déployées « à l’aveugle » via docker ou autre (ce qui n’est pas mon cas)… comment s’assurer qu’on est clean ou pas ?

anon6747921 · Octobre 27, 2019, 4:23

Ca fait des années que c’est ainsi …
Que les appli web sont trouvées vérolées (+ celles que le petit malin s’est bien gardé de vous signaler pour l’exploiter peinard pendant … bien longtemps !).
Et ca ne changera pas.

Cela veut dire que :

Il a une flotte de zombie qui vient de s’agrandir d’un bon paquet de serveur (on compte le nombre d’instance NC ??? pour rire … ),
sans une isolation propre et conceptuelle de vos services exposés : la sécurité n’est pas assurée !
La crypto ne peut rien pour vous dans ce cas …

cquest tu es taquin avec Docker … sur le coup. On est tous concerné par ce genre de faille qui est … juste inévitable. Docker ou pas ! Peut etre que nos instances Rainloop ou Roundcube en ont aussi … mais on le sait pas.
Et il y en a surement meme …

Edit : ben vu, la mise à jour PHP : oui elles l’étaient !

bOn dimanche.

anon6747921 · Octobre 27, 2019, 5:59

Les update php Debian stretch sont en train de tomber !

Get:1 https://packages.sury.org/php stretch/main amd64 php7.3-zip amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [20.2 kB]
Get:2 https://packages.sury.org/php stretch/main amd64 php7.3-intl amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [122 kB]
Get:3 https://packages.sury.org/php stretch/main amd64 php7.3-json amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [18.2 kB]
Get:4 https://packages.sury.org/php stretch/main amd64 php7.3-opcache amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [178 kB]
Get:5 https://packages.sury.org/php stretch/main amd64 php7.3-readline amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [11.7 kB]
Get:6 https://packages.sury.org/php stretch/main amd64 php7.3-cli amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [1373 kB]
Get:7 https://packages.sury.org/php stretch/main amd64 php7.3-fpm amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [1386 kB]
Get:8 https://packages.sury.org/php stretch/main amd64 php7.3-ldap amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [28.0 kB]
Get:9 https://packages.sury.org/php stretch/main amd64 php7.3-mysql amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [116 kB]
Get:10 https://packages.sury.org/php stretch/main amd64 php7.3-gd amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [26.6 kB]
Get:11 https://packages.sury.org/php stretch/main amd64 php7.3-xml amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [103 kB]
Get:12 https://packages.sury.org/php stretch/main amd64 php7.3-curl amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [29.0 kB]
Get:13 https://packages.sury.org/php stretch/main amd64 php7.3-mbstring amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [511 kB]
Get:14 https://packages.sury.org/php stretch/main amd64 php7.3-bz2 amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [9778 B]
Get:15 https://packages.sury.org/php stretch/main amd64 php7.3-common amd64 7.3.11-1+0~20191026.48+debian9~1.gbpf71ca0 [562 kB]

cquest · Octobre 27, 2019, 8:31

Oui et ce n’est pas docker que je critique en tant que tel, mais l’usage qui en découle, c’est à dire les installations « à l’aveugle » où on ne sait pas trop ce qui est contenu, quelle version, comment c’est installé et où les mises à jour ne sont pas si évidentes que ça.

anon6747921 · Octobre 27, 2019, 8:33

… ben oui , la rapidité , le moindre effort.
ok, c’est une approche.
Pas la mienne,
HS : l’a l’air bien ton tuto ZFS ! merci.

cquest · Octobre 28, 2019, 10:37

C’est plus pour faire découvrir les possibilités qu’un vrai tuto…

ljf · Octobre 28, 2019, 11:56

Précision à propos de cette faille, elle ne concerne pas que Nextcloud mais toutes les apps utilisant php fpm et nginx avec la directive fastcgi_split_path_info et aucun try_files.

Attention également pour le moment debian n’a publié aucun fix de sécu, les correctifs sont dispos sur suri par contre: https://security-tracker.debian.org/tracker/CVE-2019-11043

Si vous ne pouvez pas mettre à jour php via suri vous pouvez probablement changer vos configurations nginx.

Note: cette CVE existe depuis le 23 septembre…