BDU:2020-01418: Уязвимость функции exif_process_IFD_TAG интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к информации или вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции exif_process_IFD_TAG интерпретатора языка программирования PHP связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации или вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, PHP Group
Наименование ПО Red Hat Enterprise Linux, Ubuntu, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PHP
Версия ПО
  • 5 (Red Hat Enterprise Linux)
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 42.3 (OpenSUSE Leap)
  • 18.04 LTS (Ubuntu)
  • 18.10 (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 19.04 (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 14.04 ESM (Ubuntu)
  • - (Red Hat Software Collections)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • от 7.2.9 до 7.2.17 (PHP)
  • от 7.3.0 до 7.3.4 (PHP)
  • от 7.1.0 до 7.1.28 (PHP)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 5
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Novell Inc. OpenSUSE Leap 42.3
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Canonical Ltd. Ubuntu 18.10
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Canonical Ltd. Ubuntu 12.04 ESM
  • Canonical Ltd. Ubuntu 19.04
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Novell Inc. OpenSUSE Leap 15.0
  • Novell Inc. OpenSUSE Leap 15.1
  • Canonical Ltd. Ubuntu 14.04 ESM
  • Red Hat Inc. Red Hat Software Collections -
  • ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки Выход операции за границы буфера в памяти
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 16.03.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для php5:
Обновление программного обеспечения до 5.6.40+dfsg-0+deb8u3 или более поздней версии

Для php7:
Обновление программного обеспечения до 7.0.33-0+deb9u5 или более поздней версии

Для php7.3:
Обновление программного обеспечения до 7.3.4-2 или более поздней версии

Для Debian:
Обновление программного обеспечения до актуальной версии

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00010.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00012.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00041.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00044.html

Для Ubuntu:
https://usn.ubuntu.com/3953-1/
https://usn.ubuntu.com/3953-2/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-11034
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения