ГлавнаяБаза уязвимостей БДУ → BDU:2019-04114
7.8высокая

BDU:2019-04114 (CVE-2017-16654)

Уязвимость компонента Intl программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2019-11-19
Описание

Уязвимость компонента Intl программной платформы для разработки и управления веб-приложениями Symfony существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию путем отправки специально созданных запросов

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Symfony (от 2.7.0 до 2.7.37 включительно)Symfony (от 2.8.0 до 2.8.30 включительно)Symfony (от 3.2.0 до 3.2.13 включительно)Symfony (от 3.3.0 до 3.3.12 включительно)
Способ устранения

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4262
https://lists.debian.org/debian-lts-announce/2019/03/msg00009.html

Для Symfony:
https://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-out-of-paths

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://www.debian.org/security/2018/dsa-4262https://lists.debian.org/debian-lts-announce/2019/03/msg00009.htmlhttps://symfony.com/blog/cve-2017-16654-intl-bundle-readers-breaking-out-of-pathshttps://nvd.nist.gov/vuln/detail/CVE-2017-16654
Проверьте безопасность своего сайта и почты → Полная проверка домена