Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-05179: Уязвимость интерпретатора языка программирования PHP, связанная с целочисленным переполнением буфера, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость интерпретатора языка программирования PHP связана с целочисленным переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Red Hat Inc., Oracle Corp., PHP Group
Наименование ПО	Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Fedora, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Communications Diameter Signaling Router, PHP
Версия ПО	16.04 LTS (Ubuntu) 1.5 «Смоленск» (Astra Linux Special Edition) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 15.1 (OpenSUSE Leap) 30 (Fedora) 10.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 31 (Fedora) - (Red Hat Software Collections) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 20.04 LTS (Ubuntu) от 8.0.0.0 до 8.4.0.5 включительно (Communications Diameter Signaling Router) от 7.2.0 до 7.2.31 (PHP) от 7.3.0 до 7.3.18 (PHP) от 7.4.0 до 7.4.6 (PHP)
Тип ПО	Операционная система, Прикладное ПО информационных систем, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» 64-bit (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369) Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 14.04 ESM Fedora Project Fedora 31 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Canonical Ltd. Ubuntu 20.04 LTS
Тип ошибки	Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки	CWE-190
Класс уязвимости	Уязвимость кода
Дата выявления	11.05.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для PHP Group: https://bugs.php.net/bug.php?id=78875 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2019-11048 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-11048/ Для Ubuntu: https://ubuntu.com/security/CVE-2019-11048 Для Fedora Project: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBA3TFZSP3TB5N4G24SO6BI64RJZXE3D/ Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuoct2020.html Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-11048 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2019-11048 https://bugs.php.net/bug.php?id=78875 https://bugs.php.net/bug.php?id=78876 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OBA3TFZSP3TB5N4G24SO6BI64RJZXE3D/ https://nvd.nist.gov/vuln/detail/CVE-2019-11048 https://security-tracker.debian.org/tracker/CVE-2019-11048 https://ubuntu.com/security/CVE-2019-11048 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.oracle.com/security-alerts/cpuoct2020.html https://www.suse.com/security/cve/CVE-2019-11048/ https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-11048
Прочая информация	Данные уточняются

Последние изменения