ГлавнаяБаза уязвимостей БДУ → BDU:2020-01291
6.4средняя

BDU:2020-01291 (CVE-2019-11050)

Уязвимость функции exif_read_data интерпретатора языка программирования PHP, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
Опубликовано: 2020-04-06
Описание

Уязвимость функции exif_read_data интерпретатора языка программирования PHP связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Ubuntu (12.04 ESM)Ubuntu (19.04)SUSE Linux Enterprise Module for Web Scripting (12)SUSE Linux Enterprise Module for additional PackageHub (15)SUSE Linux Enterprise Point of Sale (11 SP3)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (11 SP4-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS)Fedora (30)Ubuntu (14.04 ESM)SUSE Linux Enterprise Software Development Kit (12 SP5)Debian GNU/Linux (8)SUSE Linux Enterprise Module for Web Scripting (15)SUSE Linux Enterprise Module for Web Scripting (15 SP1)Debian GNU/Linux (10)Fedora (31)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.2.0 до 7.2.26 включительно)PHP (от 7.3.0 до 7.3.13 включительно)PHP (7.4.0)Альт 8 СП
Способ устранения

Использование рекомендаций:
Для php7.0:
Обновление программного обеспечения до 7.0.33-0+deb9u6 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u6или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u6 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/N7GCOAE6KVHYJ3UQ4KLPLTGSLX6IRVRN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XWRQPYXVG43Q7DXMXH6UVWMKWGUW552F/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/N7GCOAE6KVHYJ3UQ4KLPLTGSLX6IRVRN/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XWRQPYXVG43Q7DXMXH6UVWMKWGUW552F/https://bugs.php.net/bug.php?id=78793https://nvd.nist.gov/vuln/detail/CVE-2019-11050https://security-tracker.debian.org/tracker/CVE-2019-11050https://bugs.php.net/bug.php?id=78793https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена