ГлавнаяБаза уязвимостей БДУ → BDU:2020-01391
9.4критическая

BDU:2020-01391 (CVE-2020-7060)

Уязвимость функции mbstring() интерпретатора языка программирования PHP, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2020-04-10
Описание

Уязвимость функции mbstring() интерпретатора языка программирования PHP связана с чтением буфера за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsUbuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.2.0 до 7.2.27)PHP (от 7.3.0 до 7.3.14)PHP (от 7.4.0 до 7.4.2)Communications Diameter Signaling Router (от 8.0 до 8.4 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для PHP:
Обновление программного обеспечения до 7.3.15-3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u7 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u7 или более поздней версии

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.html

Для Ubuntu:
https://usn.ubuntu.com/4279-1/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-7060

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет php7.0 до 7.0.33-0+deb9u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.htmlhttps://usn.ubuntu.com/4279-1/https://www.debian.org/security/2020/dsa-4626https://www.debian.org/security/2020/dsa-4628https://lists.debian.org/debian-lts-announce/2020/02/msg00030.htmlhttps://bugs.php.net/bug.php?id=79037https://access.redhat.com/security/cve/cve-2020-7060https://www.oracle.com/security-alerts/cpujul2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена