PHP FastCGI Process Manager 权限许可和访问控制漏洞

漏洞信息详情

PHP FastCGI Process Manager 权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201405-056
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-0185
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2014-05-08
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2014-05-08
  
• 厂        商：
  
  php
• 漏洞来源：

FastCGI Process Manager（FPM）是英国软件开发者Andrei Nigmatulin所研发的一个用于PHP中的FastCGI进程管理器，它用来管理FastCGI进程。

PHP 5.5.0至5.5.11版本的FPM中的sapi/fpm/fpm/fpm_unix.c文件存在安全漏洞，该漏洞源于程序对UNIX套接字使用0666权限。本地攻击者可借助特制的FastCGI客户端利用该漏洞获取特权。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.php.net/archive/2014.php#id2014-05-01-1

来源:www.php.net

链接:http://www.php.net/archive/2014.php#id2014-05-01-1

来源:github.com

链接:https://github.com/php/php-src/commit/35ceea928b12373a3b1e3eecdc32ed323223a40d

来源:bugs.launchpad.net

链接:https://bugs.launchpad.net/ubuntu/+source/php5/+bug/1307027

来源:www.php.net

链接:http://www.php.net/ChangeLog-5.php

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1092815

来源:MLIST

名称:[oss-security] 20140429 Fwd: [vs] php-fpm: privilege escalation due to insecure default config (CVE-2014-0185)

链接:http://www.openwall.com/lists/oss-security/2014/04/29/5

来源:bugs.php.net

链接:https://bugs.php.net/bug.php?id=67060

来源:hoffmann-christian.info

链接:https://hoffmann-christian.info/files/php-fpm/0001-Fix-bug-67060-use-default-mode-of-660.patch