Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01418: Уязвимость функции exif_process_IFD_TAG интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к информации или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции exif_process_IFD_TAG интерпретатора языка программирования PHP связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации или вызвать отказ в обслуживании
Вендор	Red Hat Inc., Canonical Ltd., Novell Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, PHP Group
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PHP
Версия ПО	5 (Red Hat Enterprise Linux) 6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) 42.3 (OpenSUSE Leap) 18.04 LTS (Ubuntu) 18.10 (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 19.04 (Ubuntu) 8 (Red Hat Enterprise Linux) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 14.04 ESM (Ubuntu) - (Red Hat Software Collections) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») от 7.2.9 до 7.2.17 (PHP) от 7.3.0 до 7.3.4 (PHP) от 7.1.0 до 7.1.28 (PHP)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 5 Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 16.04 LTS Novell Inc. OpenSUSE Leap 42.3 Canonical Ltd. Ubuntu 18.04 LTS Canonical Ltd. Ubuntu 18.10 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Canonical Ltd. Ubuntu 19.04 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1 Canonical Ltd. Ubuntu 14.04 ESM Red Hat Inc. Red Hat Software Collections - ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	16.03.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для php5: Обновление программного обеспечения до 5.6.40+dfsg-0+deb8u3 или более поздней версии Для php7: Обновление программного обеспечения до 7.0.33-0+deb9u5 или более поздней версии Для php7.3: Обновление программного обеспечения до 7.3.4-2 или более поздней версии Для Debian: Обновление программного обеспечения до актуальной версии Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00010.html https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00012.html https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00041.html https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00044.html Для Ubuntu: https://usn.ubuntu.com/3953-1/ https://usn.ubuntu.com/3953-2/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-11034
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://bugs.php.net/bug.php?id=77753 https://nvd.nist.gov/vuln/detail/CVE-2019-11034 https://security-tracker.debian.org/tracker/CVE-2019-11034 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00010.html https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00012.html https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00041.html https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00044.html https://usn.ubuntu.com/3953-1/ https://usn.ubuntu.com/3953-2/ https://access.redhat.com/security/cve/CVE-2019-11034 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-11034
Прочая информация	Данные уточняются

Последние изменения