Hallo,

unsere PHP-Pakete für Debian/Ubuntu wurden eben aktualisiert - und zwar alle: PHP 5.6/7.0/7.1/7.2/7.3.
(die Versionen 7.4 und 8.0 wurden im Rahmen der normalen Updates bereits kürzlich aktualisiert).

Alle Pakete enthalten somit den Patch für PHP-Bug #81026 (CVE-2021-21703).

Es handelt sich um einen Bug in PHP-FPM, der es Angreifern ermöglicht, durch Ausnutzung anderer (weniger kritischer) Fehler schlimmstenfalls root-Rechte zu erlangen. Betroffen sind demnach alle PHP-Versionen, welche mit FPM laufen (also ab Version 5.3).

Ein Exploit hierzu wurde noch nicht veröffentlicht, das dürfte aber nur eine Frage der Zeit sein. Wir empfehlen daher dringend allen Admins, die PHP-Pakete entsprechend zu aktualisieren.
(die PHP-Pakete für CentOS aus dem Remi-Repository sind übrigens auch schon gepatched)

Viele Grüße

-Klaus Keppler