Numéro : AV16-004
Date : Le 11 janvier 2016
Objet
Cet avis a pour objet d'attirer votre attention sur de multiples mises à jour de sécurité PHP.
Évaluation
PHP a publié de multiples mises à jour de sécurité visant des vulnérabilités des versions antérieures aux versions 7.0.2, 5.6.16, et 5.5.31. Ces mises à jour incluent des correctifs pour corriger les vulnérabilités qui pourraient potentiellement permettre à un attaquant d’exécuter du code à distance.
De plus, le 10 juillet 2016, 5.5 PHP aura atteint la fin de sa vie utile et ne sera plus pris en charge.
Mesures Recommandées
Le CCRIC recommande aux organismes de consulter leurs fournisseurs afin de déterminer si leurs produits ou services utilisent une version vulnérable de PHP. Le CCRIC recommande également aux administrateurs des organismes d’essayer les mises à jour du fournisseur lorsqu’elles seront diffusées et de les déployer en conséquence dans les applications et plateformes touchées.
La migration vers une plateforme de développement à jour peut présenter des défis particuliers et il est essentiel que les organismes qui utilisent 5.5 PHP planifient et mettent à l’essai une solution de migration avant l’échéance.
Références :
- Téléchargements PHP : http://www.php.net/downloads.php
- Journal des modifications PHP 5 : http://php.net/ChangeLog-5.php
- Journal des modifications PHP 7 : http://php.net/ChangeLog-7.php
- Infoworld : http://www.infoworld.com/article/3020451/application-development/patch-your-php-security-fixes-released-for-all-branches.html