Sign in Subscribe
By Jean-Marc BIAUDIS in sécurité

Régression PHP corrigée par Ubuntu : ce qu’il faut savoir sur USN-7648-3

Ubuntu vient de publier l’avis de sécurité USN-7648-3 pour corriger une régression introduite… par un précédent correctif. Comme quoi, même les patches ont parfois besoin d’un patch ! Cette nouvelle mise à jour concerne les versions PHP 7.0, 7.2 et 7.4 et ferme deux brèches qui auraient pu permettre des validations d’hôte contournées ou des dénis de service via des fonctions PostgreSQL.

Pourquoi cette régression ?

Le premier correctif visait à éliminer la vulnérabilité CVE-2025-1735, liée au traitement de noms d’hôte contenant des caractères nuls. Hélas, en bloquant ces caractères, le patch initial cassait la compatibilité avec certaines applications PHP qui s’appuient sur des hôtes stockés en base ou transmis via des API tiers. Le résultat : des validations hostname échouaient silencieusement, ouvrant la porte à des contournements de sécurité.

Deux vulnérabilités en une

Outre le problème de caractères nuls, les modules pgsql et pdo_pgsql souffraient d’un défaut d’échappement. En envoyant des chaînes mal formées à PostgreSQL, un attaquant pouvait provoquer un segmentation fault et ainsi faire crasher l’interpréteur PHP — un déni de service à la clé. La nouvelle version corrige donc à la fois :

  • La validation stricte des hôtes, en conservant la prise en charge des cas légitimes.
  • L’échappement des données PostgreSQL, empêchant les plantages intempestifs.

Comment mettre à jour sans casse

Sur vos serveurs Ubuntu, un simple :

sudo apt update && sudo apt upgrade php*

suffit à récupérer les packages corrigés. Pensez ensuite à relancer PHP-FPM ou Apache selon votre stack. Si vous hébergez des sites tiers, testez la génération d’URLs contenant des « %00 » ou des connexions PostgreSQL afin de vérifier que tout fonctionne comme prévu.

Donnez-vous la sécurité en priorité

Les régressions de sécurité sont malheureusement fréquentes lorsque l’on touche à des briques aussi anciennes que PHP 7.x. LeAs gestionnaires de parcs ont donc intérêt à planifier des tests d’intégration automatiques avant chaque roll-out. Et, à moyen terme, à migrer vers des versions supportées de PHP (8.2 ou 8.3) où le code est plus récent… et mieux testé.

Pour consulter l’avis officiel et les détails techniques, rendez-vous sur la page USN-7648-3 d’Ubuntu.

Et vous ? Avez-vous déjà été surpris par une régression de sécurité après une mise à jour ? Partagez votre retour d’expérience dans les commentaires !

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe