BDU:2020-01391: Уязвимость функции mbstring() интерпретатора языка программирования PHP, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции mbstring() интерпретатора языка программирования PHP связана с чтением буфера за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., PHP Group, Oracle Corp.
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, OpenSUSE Leap, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PHP, Communications Diameter Signaling Router
Версия ПО
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • - (Red Hat Software Collections)
  • 19.10 (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 7.2.0 до 7.2.27 (PHP)
  • от 7.3.0 до 7.3.14 (PHP)
  • от 7.4.0 до 7.4.2 (PHP)
  • от 8.0 до 8.4 включительно (Communications Diameter Signaling Router)
Тип ПО Операционная система, Прикладное ПО информационных систем, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 10.02.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для PHP:
Обновление программного обеспечения до 7.3.15-3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u7 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u7 или более поздней версии

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.html

Для Ubuntu:
https://usn.ubuntu.com/4279-1/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-7060

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения