ГлавнаяБаза уязвимостей БДУ → BDU:2019-01552
7.5критическая

BDU:2019-01552 (CVE-2019-9021)

Уязвимость функции чтения PHAR интерпретатора языка программирования PHP, связанная с чтением за пределами границ буфера памяти, позволяющая нарушителю вызвать отказ в обслуживании, нарушить конфиденциальность и целостность защищаемых данных
Опубликовано: 2019-04-25
Описание

Уязвимость функции чтения PHAR интерпретатора языка программирования PHP связана с перечитыванием буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, нарушить конфиденциальность и целостность защищаемых данных путем выполнения операции чтения выделенной или нераспределенной памяти за фактическими данными при попытке проанализировать имя файла

Затрагиваемое ПО и версии
SUSE Linux Enterprise Debuginfo (11 sp4)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)PHP (до 5.6.40)PHP (от 7.2.0 до 7.2.14)PHP (от 7.3.0 до 7.3.1)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)PHP (от 7.0.0 до 7.1.26)SUSE Linux Enterprise Point of Sale (11 SP3)Debian GNU/Linux (8)
Способ устранения

Для Php5:
Обновление программного обеспечения до 5.6.40+dfsg-0+deb8u1 или более поздней версии

Для Php7.0:
Обновление программного обеспечения до 7.0.33-0+deb9u2 или более поздней версии

Для Php7.3:
Обновление программного обеспечения до 7.3.2-3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php5) до 5.6.40+dfsg-0+deb8u1 или более поздней версии
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u2 или более поздней версии
Обновление программного обеспечения (пакета php7.3) до 7.3.2-3 или более поздней версии

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет php7.0 до 7.0.33-0+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://bugs.php.net/bug.php?id=77247https://nvd.nist.gov/vuln/detail/CVE-2019-9021https://security-tracker.debian.org/tracker/CVE-2019-9021https://bugs.php.net/bug.php?id=77247https://www.suse.com/support/update/announcement/2019/suse-su-201914013-1/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена