|
Описание уязвимости |
Уязвимость реализации функции get_headers() интерпретатора языка программирования PHP связана с недостаточной проверкой вводимых данных при обработке ссылок с использованием символа (\0). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации путем отправки информации на некорректный сервер |
|
Вендор
|
Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Red Hat Inc., Novell Inc., PHP Group |
|
Наименование ПО
|
Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Red Hat Enterprise Linux, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), PHP |
|
Версия ПО
|
- 16.04 LTS (Ubuntu)
- 1.5 «Смоленск» (Astra Linux Special Edition)
- 18.04 LTS (Ubuntu)
- 1.6 «Смоленск» (Astra Linux Special Edition)
- 8.0 (Debian GNU/Linux)
- 9.0 (Debian GNU/Linux)
- 12.04 ESM (Ubuntu)
- 8 (Red Hat Enterprise Linux)
- 15.1 (OpenSUSE Leap)
- 10.0 (Debian GNU/Linux)
- 14.04 ESM (Ubuntu)
- 19.10 (Ubuntu)
- 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
- от 7.3.0 до 7.3.16 (PHP)
- от 7.4.0 до 7.4.34 (PHP)
- 20.04 LTS (Ubuntu)
- от 7.2.0 до 7.2.9 (PHP)
- от 7.2.0 до 7.2.29 (PHP)
- от 7.4.0 до 7.4.4 (PHP)
|
|
Тип ПО
|
Операционная система, Прикладное ПО информационных систем |
|
Операционные системы и аппаратные платформы
|
- Canonical Ltd. Ubuntu 16.04 LTS 32-bit
- ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» 64-bit (запись в едином реестре российских программ №369)
- ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369)
- Canonical Ltd. Ubuntu 16.04 LTS
- Canonical Ltd. Ubuntu 18.04 LTS
- ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
- Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
- Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
- Canonical Ltd. Ubuntu 12.04 ESM
- Red Hat Inc. Red Hat Enterprise Linux 8
- Novell Inc. OpenSUSE Leap 15.1
- Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
- Canonical Ltd. Ubuntu 14.04 ESM
- Canonical Ltd. Ubuntu 19.10
- ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
- Canonical Ltd. Ubuntu 20.04 LTS
|
|
Тип ошибки |
Неправильное null-прекращение |
|
Идентификатор типа ошибки
|
|
|
Класс уязвимости
|
Уязвимость кода |
|
Дата выявления |
17.03.2020 |
|
Базовый вектор уязвимости
|
|
|
Уровень опасности уязвимости
|
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3) |
|
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для PHP:
Обновление программного обеспечения до 7.4.5-1 или более поздней версии
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00025.html
Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4330-1
https://usn.ubuntu.com/usn/usn-4330-2
Для Debian GNU/Linux:
Обновление программного обеспечения (пакета php7.3) до 7.3.19-1~deb10u1 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета php7.3) до 7.3.19-1~deb10u1 или более поздней версии
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-7066 |
|
Статус уязвимости
|
Подтверждена производителем |
|
Наличие эксплойта |
Существует в открытом доступе |
|
Способ эксплуатации |
- Манипулирование структурами данных
|
|
Способ устранения |
Обновление программного обеспечения |
|
Информация об устранении |
Уязвимость устранена |
|
Ссылки на источники |
|
|
Идентификаторы других систем описаний уязвимостей
|
|
|
Прочая информация |
Данные уточняются |
