Régression PHP dans Ubuntu : les 3 CVE critiques expliqués
Bye-bye les crashs PHP ! La dernière mise à jour d’Ubuntu corrige en urgence trois vulnérabilités qui forçaient littéralement PHP 7.0, 7.2 et 7.4 à s’arrêter net. Explications rapides pour comprendre ce qu’il s’est passé — et éviter que cela ne se reproduise.
Trois CVE, un même point commun : la régression
Le 25 février, Canonical publiait l’USN-7648-3 : un patch censé colmater des brèches… mais qui créait une régression provoquant des dénis de service instantanés via les extensions SOAP et la gestion des noms d’hôte.
- CVE-2025-1220 : injection de caractères nuls dans parse_url() entraînant une invalidation imprévue du hostname.
- CVE-2025-1735 : désérialisation XML mal vérifiée dans SOAP, cause de segmentation fault.
- CVE-2025-6491 : débordement de mémoire lors de la conversion d’entêtes HTTP mal formés.
Comment savoir si vous êtes concerné ?
Exécutez simplement :php7.4 -v | head -n1
Si la version compilée est antérieure au patch publié le 25 février 2025, vous êtes vulnérable. Les logs Apache ou Nginx affichent alors fréquemment :child pid ... exit signal Segmentation fault (11)
La solution en 30 secondes
- Mettez à jour vos paquets :
sudo apt update && sudo apt install php7.4 php7.4-common ... - Redémarrez PHP-FPM ou Apache :
sudo systemctl restart php7.4-fpm - Testez votre application critique pour vérifier que SOAP, cURL et parse_url() fonctionnent toujours.
Canonical présente ses excuses officielles pour ce contretemps ; il est néanmoins préférable d’appliquer la correction plutôt que de rester sur une version bancale.
Conclusion : même un patchs de sécurité peut introduire sa propre faille. Gardez toujours un environnement de test à jour pour déceler les régressions avant la production.
Et vous, avez-vous déjà constaté des crashs PHP récemment ? Racontez votre retour d’expérience dans les commentaires !