ГлавнаяБаза уязвимостей БДУ → BDU:2019-01565
7.5критическая

BDU:2019-01565 (CVE-2019-9020)

Уязвимость функции xml_elem_parse_buf() интерпретатора языка программирования PHP, связанная с чтением за пределами границ буфера памяти, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным
Опубликовано: 2019-04-25
Описание

Уязвимость функции xml_elem_parse_buf() (ext/xmlrpc/libxmlrpc/xml_element.с) интерпретатора языка программирования PHP связана с чтением за пределами границ буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемым данным

Затрагиваемое ПО и версии
SUSE Linux Enterprise Debuginfo (11 sp4)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)PHP (до 5.6.40)PHP (от 7.2.0 до 7.2.14)PHP (от 7.3.0 до 7.3.1)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)PHP (от 7.0.0 до 7.1.26)SUSE Linux Enterprise Point of Sale (11 SP3)Debian GNU/Linux (8)
Способ устранения

Для php7.3:
Обновление программного обеспечения до 7.3.3-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php7) до 7.0.33-0+deb9u3 или более поздней версии

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет php7.0 до 7.0.33-0+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-9020https://security-tracker.debian.org/tracker/CVE-2019-9020https://bugs.php.net/bug.php?id=77242https://bugs.php.net/bug.php?id=77249https://www.suse.com/support/update/announcement/2019/suse-su-201914013-1/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена