Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-04762: Уязвимость реализации функции finfo_buffer() интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость реализации функции finfo_buffer() интерпретатора языка программирования PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	ООО «Ред Софт», Fedora Project, PHP Group
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Fedora, PHP
Версия ПО	7.3 (РЕД ОС) 36 (Fedora) до 8.1.8 (PHP)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Fedora Project Fedora 36
Тип ошибки	Выход операции за границы буфера в памяти, Переполнение буфера в куче
Идентификатор типа ошибки	CWE-119 CWE-122
Класс уязвимости	Уязвимость кода
Дата выявления	27.06.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для PHP: https://www.php.net/ChangeLog-8.php#8.1.8 https://gist.github.com/cmb69/90aba3c8ff8d42c5598e31846d259aa7 https://bugs.php.net/bug.php?id=81723 https://github.com/php/php-src/commit/ca6d511fa54b34d5b75bf120a86482a1b9e1e686 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-ec0491574d Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-php-cve-2021-21708-cve-2022-31625-cve-2021-21702-cve-2021-21705-cve-2021-/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.php.net/ChangeLog-8.php#8.1.8 https://bugs.php.net/bug.php?id=81723 https://github.com/php/php-src/commit/ca6d511fa54b34d5b75bf120a86482a1b9e1e686 https://www.cybersecurity-help.cz/vdb/SB2022072549 https://bugzilla.redhat.com/show_bug.cgi?id=2107018 https://access.redhat.com/security/cve/cve-2022-31627 https://gist.github.com/cmb69/90aba3c8ff8d42c5598e31846d259aa7 https://bodhi.fedoraproject.org/updates/FEDORA-2022-ec0491574d https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-php-cve-2021-21708-cve-2022-31625-cve-2021-21702-cve-2021-21705-cve-2021-/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-31627
Прочая информация	Данные уточняются

Последние изменения