Upgrade php5 suhosin

exeral · Février 21, 2016, 11:08am

Bonjour

je viens de faire une upgrade de ma debian testing, assez conséquente car je ne l’avais pas fait depuis un bout de temps.

et je découvre que suhosin à été désactivé dans php5:

l’upgrade se passe bien. mais après le cron me spam toutes les 10 min avec

je ne sais même pas à quoi sert cette tâche

enfin toujours est-il que dans /etc/php5/apache2/conf.d/suhosin.ini
j’ai décommenté la ligne extension=suhosin.so
et depuis plus d’alertes

je sais pas si c’est la bonne soluce

savez-vous pourquoi suhosin a été désactivé dans le paquet php5 ?
cela veut dire que de base php5 est maintenant moins sécurisé ?

Ottakar · Février 21, 2016, 6:24pm

Je viens de passer de squeeze vers wheezy et j’ai fais le même constat.

Il semble que le paquet suhosin ne soit plus dispo sous wheezy à ce jour.

[code]Paquet php5-suhosin:

squeeze (oldstable) (php): module de protection élaboré pour PHP5
0.9.32.1-1: amd64

sid (unstable) (php): module de protection élaboré pour PHP5
0.9.33-3: amd64

[/code]

BelZeButh · Février 21, 2016, 6:24pm

[quote=“exeral”]Bonjour

enfin toujours est-il que dans /etc/php5/apache2/conf.d/suhosin.ini
j’ai décommenté la ligne extension=suhosin.so
et depuis plus d’alertes

je sais pas si c’est la bonne soluce

savez-vous pourquoi suhosin a été désactivé dans le paquet php5 ?
cela veut dire que de base php5 est maintenant moins sécurisé ?[/quote]

Ce paquet n’as plus lieu d’être depuis Wheezy.

[12:09:48] ~ # apt-cache policy php5-suhosin php5-suhosin: Installé : (aucun) Candidat : 0.9.32.1-1 Table de version : 0.9.33-3 0 95 http://ftp.fr.debian.org/debian/ unstable/main i386 Packages 0.9.32.1-1 0 500 http://ftp.fr.debian.org/debian/ oldstable/main i386 Packages [12:10:05] ~ #

S’il est encore présent d’une manière ou d’une autre, procèdes comme suit.

Par ailleurs, tu peux supprimer cette variable en /etc/php5/apache2/php.ini

Profites-en pour ajuster ce dernier, si ce n’est fait.

[Date] ; Defines the default timezone used by the date functions ; http://php.net/date.timezone date.timezone = 'Europe/Paris'
Puis relances l’indien.

Ottakar · Février 21, 2016, 6:24pm

Merci pour tous ces détails, mais visiblement tout à été réglé à la mise à jour, y’a plus de trace et plus de mail depuis celui reçu après la MàJ.