ГлавнаяБаза уязвимостей БДУ → BDU:2019-03343
7.5критическая

BDU:2019-03343 (CVE-2019-10910)

Уязвимость идентификатора служб «symfony/dependency-injection» программной платформы для разработки и управления веб-приложениями Symfony, связанная с отсутствием мер по защите структур SQL запросов, позволяющая нарушителю выполнить произвольный код через SQL-инъекцию
Опубликовано: 2019-10-01
Описание

Уязвимость идентификатора служб «symfony/dependency-injection» программной платформы для разработки и управления веб-приложениями Symfony связана с отсутствием мер по защите структур SQL запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код через SQL-инъекцию

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Symfony (от 2.7.0 до 2.7.51)Symfony (от 2.8.0 до 2.8.50)Symfony (от 3.0.0 до 3.4.26)Symfony (от 4.1.0 до 4.1.12)Symfony (от 4.2.0 до 4.2.7)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)
Способ устранения

Для symfony:

Обновление программного обеспечения до 3.4.22+dfsg-2 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u2 или более поздней версии



Для Astra Linux:

https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41192827

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-10910https://security-tracker.debian.org/tracker/CVE-2019-10910https://symfony.com/blog/cve-2019-10910-check-service-ids-are-validhttps://wiki.astralinux.ru/pages/viewpage.action?pageId=41192827
Проверьте безопасность своего сайта и почты → Полная проверка домена