Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01446: Уязвимость функции fgetss() языка сценариев общего назначения с открытым исходным кодом PHP, связанная с чтением за границами буфера памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции fgetss() языка сценариев общего назначения с открытым исходным кодом PHP связана с ошибкой чтения данных со стирающимися тегами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Вендор	Canonical Ltd., Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., PHP Group, Oracle Corp.
Наименование ПО	Ubuntu, Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PHP, Communications Diameter Signaling Router
Версия ПО	14.04 LTS (Ubuntu) 7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) - (Red Hat Software Collections) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») от 7.2.0 до 7.2.27 (PHP) от 7.3.0 до 7.3.14 (PHP) от 7.4.0 до 7.4.2 (PHP) от 8.0 до 8.4 включительно (Communications Diameter Signaling Router)
Тип ПО	Операционная система, Прикладное ПО информационных систем, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 14.04 LTS Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки	Чтение за границами буфера
Идентификатор типа ошибки	CWE-125
Класс уязвимости	Уязвимость кода
Дата выявления	16.01.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для PHP: https://bugs.php.net/bug.php?id=79099 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-7059 Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-7059 Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.html Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujul2020.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-7059
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://bugs.php.net/bug.php?id=79099 https://nvd.nist.gov/vuln/detail/CVE-2020-7059 https://security-tracker.debian.org/tracker/CVE-2020-7059 https://bugs.php.net/bug.php?id=79099 https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011 https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-7059 https://www.suse.com/security/cve/CVE-2020-7059 https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-7059
Прочая информация	Данные уточняются

Последние изменения