ГлавнаяБаза уязвимостей БДУ → BDU:2018-00525
7.5критическая

BDU:2018-00525 (CVE-2018-7584)

Уязвимость функции php_stream_url_wrap_http_ex интерпретатора PHP, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2018-04-12
Описание

Уязвимость функции php_stream_url_wrap_http_ex (ext/standard/http_fopen_wrapper.c) интерпретатора PHP вызвана выходом операции за границы буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании с использованием специально сформированного HTTP-ответа

Затрагиваемое ПО и версии
PHP (5.6.33)PHP (от 7.0.0 до 7.0.28)PHP (от 7.1.0 до 7.1.14 включительно)PHP (от 7.2.0 до 7.2.2 включительно)Astra Linux Special Edition (1.6 «Смоленск»)
Способ устранения

Для PHP:
Обновление программного обеспечения до 7.2.3 или более поздней версии

Использование рекомендаций:
http://php.net/ChangeLog-7.php
https://bugs.php.net/bug.php?id=75981
https://github.com/php/php-src/commit/523f230c831d7b33353203fa34aee4e92ac12bba

Для Astra Linux:
Обновление программного обеспечения (пакета php7.0) до 7.0.30-0+deb9u1 или более поздней версии

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://php.net/ChangeLog-7.phphttp://www.securityfocus.com/bid/103204https://bugs.php.net/bug.php?id=75981https://github.com/php/php-src/commit/523f230c831d7b33353203fa34aee4e92ac12bbahttps://lists.debian.org/debian-lts-announce/2018/03/msg00030.htmlhttps://www.tenable.com/security/tns-2018-03https://usn.ubuntu.com/3600-1/https://nvd.nist.gov/vuln/detail/CVE-2018-7584
Проверьте безопасность своего сайта и почты → Полная проверка домена