БДУ - Уязвимости

BDU:2020-00707: Уязвимость функций sleep и wakeup программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости	Уязвимость функций __sleep и __wakeup (symfony/phpunit-bridge и symfony/cache) программной платформы для разработки и управления веб-приложениями Symfony связана с восстановлением в памяти недостоверной информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор	Fedora Project, ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, SensioLabs, symfony community
Наименование ПО	Fedora, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Symfony
Версия ПО	28 (Fedora) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 29 (Fedora) 30 (Fedora) от 2.8.0 до 2.8.50 (Symfony) от 4.1.0 до 4.1.12 (Symfony) от 4.2.0 до 4.2.7 (Symfony) от 3.4.0 до 3.4.26 (Symfony)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Fedora Project Fedora 28 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Fedora Project Fedora 29 Fedora Project Fedora 30
Тип ошибки	Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-502
Класс уязвимости	Уязвимость кода
Дата выявления	17.04.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для symfony: Обновление программного обеспечения до 3.4.22+dfsg-2 или более поздней версии Для Debian: Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u2 или более поздней версии Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/42UEKSLKJB72P24JBWVN6AADHLMYSUQD/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6QEAOZXVNDA63537A2OIH4QE77EKZR5O/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BAC2TQVEEH5FDJSSWPM2BCRIPTCOEMMO/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BHHIG4GMSGEIDT3RITSW7GJ5NT6IBHXU/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LFARAUAWZE4UDSKVDWRD35D75HI5UGSD/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MDSM576XIOVXVCMHNJHLBBZBTOD62LDA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RTJGZJLPG5FHKFH7KNAKNTWOGBB6LXAL/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZLOZX5BZMQKWG7PJRQL6MB5CAMKBQAWD/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-10912 https://security-tracker.debian.org/tracker/CVE-2019-10912 https://symfony.com/blog/cve-2019-10912-prevent-destructors-with-side-effects-from-being-unserialized https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/42UEKSLKJB72P24JBWVN6AADHLMYSUQD/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6QEAOZXVNDA63537A2OIH4QE77EKZR5O/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BAC2TQVEEH5FDJSSWPM2BCRIPTCOEMMO/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BHHIG4GMSGEIDT3RITSW7GJ5NT6IBHXU/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LFARAUAWZE4UDSKVDWRD35D75HI5UGSD/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MDSM576XIOVXVCMHNJHLBBZBTOD62LDA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RTJGZJLPG5FHKFH7KNAKNTWOGBB6LXAL/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZLOZX5BZMQKWG7PJRQL6MB5CAMKBQAWD/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-10912
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»