БДУ - Print

BDU:2020-05806: Уязвимость функции urldecode() интерпретатора языка программирования PHP, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю получить доступ к защищаемой информации

Описание уязвимости	Уязвимость функции urldecode() интерпретатора языка программирования PHP связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Oracle Corp., PHP Group
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Communications Diameter Signaling Router, PHP
Версия ПО	1.5 «Смоленск» (Astra Linux Special Edition), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), от 8.0.0.0 до 8.4.0.5 включительно (Communications Diameter Signaling Router), от 7.2.0 до 7.2.30 (PHP), от 7.3.0 до 7.3.17 (PHP), от 7.4.0 до 7.4.5 (PHP)
Тип ПО	Операционная система, ПО сетевого программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» 64-bit (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» Не указана (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» Не указана (запись в едином реестре российских программ №11156)
Тип ошибки	Чтение за границами буфера
Идентификатор типа ошибки	CWE-125
Класс уязвимости	Уязвимость кода
Дата выявления	14.04.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Для PHP: Обновление программного обеспечения до 7.4.5-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета php7.3) до 7.3.19-1~deb10u1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета php7.3) до 7.3.19-1~deb10u1 или более поздней версии https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для Oracle Corp.: https://www.oracle.com/security-alerts/cpuoct2020.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://bugs.php.net/bug.php?id=79465 https://nvd.nist.gov/vuln/detail/CVE-2020-7067 https://security-tracker.debian.org/tracker/CVE-2020-7067 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.oracle.com/security-alerts/cpuoct2020.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-7067
Прочая информация	Данные уточняются