ГлавнаяБаза уязвимостей БДУ → BDU:2019-01955
6.8средняя

BDU:2019-01955 (CVE-2018-14773)

Уязвимость компонента HttpFoundation фреймворка Symfony, связанная с ошибками обработки HTTP-загловков, позволяющая нарушителю оказать воздействие на целостность защищаемых данных
Опубликовано: 2019-06-06
Описание

Уязвимость компонента HttpFoundation фреймворка Symfony связана с поддержкой заголовка IIS, который позволяет пользователям переопределять путь в URL запросе через заголовок X-Original-URL или X-Rewrite-URL. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность защищаемых данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Symfony (от 2.7.0 до 2.7.48 включительно)Symfony (от 2.8.0 до 2.8.43 включительно)Symfony (от 3.3.0 до 3.3.17 включительно)Symfony (от 3.4.0 до 3.4.13 включительно)Debian GNU/Linux (8)Drupal (от 8.0 до 8.5.6)
Способ устранения

Использование рекомендаций:
Для Symfony:

Обновление программного обеспечения до 3.4.22+dfsg-2 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u2 или более поздней версии

Для Drupal:
https://www.drupal.org/SA-CORE-2018-005

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headershttps://nvd.nist.gov/vuln/detail/CVE-2018-14773https://security-tracker.debian.org/tracker/CVE-2018-14773https://www.drupal.org/SA-CORE-2018-005https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Проверьте безопасность своего сайта и почты → Полная проверка домена