Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01676: Уязвимость функции gdImageCreateFromXbm графической библиотеке GD интерпретатора языка программирования PHP, связанная с недостатком механизма проверки вводимых данных, позволяющая нарушителю получить несанкционированный доступ к информации

Описание уязвимости	Уязвимость функции gdImageCreateFromXbm графической библиотеке GD интерпретатора языка программирования PHP связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации
Вендор	Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., PHP Group
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Fedora, OpenSUSE Leap, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PHP
Версия ПО	7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 29 (Fedora) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) 30 (Fedora) 14.04 ESM (Ubuntu) - (Red Hat Software Collections) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») от 7.1.0 до 7.1.30 (PHP) от 7.2.0 до 7.2.19 (PHP) от 7.3.0 до 7.3.6 (PHP) 32 (Fedora)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Fedora Project Fedora 29 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 Canonical Ltd. Ubuntu 14.04 ESM Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Fedora Project Fedora 32
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	05.05.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для php: https://bugs.php.net/bug.php?id=77973 Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00020.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3CZ2QADQTKRHTGB2AHD7J4QQNDLBEMM6/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PKSSWFR2WPMUOIB5EN5ZM252NNEPYUTG/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WAZBVK6XNYEIN7RDQXESSD63QHXPLKWL/ Для Ubuntu: https://usn.ubuntu.com/4316-1/ https://usn.ubuntu.com/4316-2/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-11038 Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-11038 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00020.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3CZ2QADQTKRHTGB2AHD7J4QQNDLBEMM6/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PKSSWFR2WPMUOIB5EN5ZM252NNEPYUTG/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WAZBVK6XNYEIN7RDQXESSD63QHXPLKWL/ https://usn.ubuntu.com/4316-1/ https://usn.ubuntu.com/4316-2/ https://access.redhat.com/security/cve/CVE-2019-11038 https://bugs.php.net/bug.php?id=77973 https://nvd.nist.gov/vuln/detail/CVE-2019-11038 https://security-tracker.debian.org/tracker/CVE-2019-11038 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-11038
Прочая информация	Данные уточняются

Последние изменения