ГлавнаяБаза уязвимостей БДУ → BDU:2020-01446
9.4критическая

BDU:2020-01446 (CVE-2020-7059)

Уязвимость функции fgetss() языка сценариев общего назначения с открытым исходным кодом PHP, связанная с чтением за границами буфера памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2020-04-14
Описание

Уязвимость функции fgetss() языка сценариев общего назначения с открытым исходным кодом PHP связана с ошибкой чтения данных со стирающимися тегами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Red Hat Software CollectionsUbuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.2.0 до 7.2.27)PHP (от 7.3.0 до 7.3.14)PHP (от 7.4.0 до 7.4.2)Communications Diameter Signaling Router (от 8.0 до 8.4 включительно)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для PHP:
https://bugs.php.net/bug.php?id=79099

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-7059

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-7059

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-7059

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://bugs.php.net/bug.php?id=79099https://nvd.nist.gov/vuln/detail/CVE-2020-7059https://security-tracker.debian.org/tracker/CVE-2020-7059https://bugs.php.net/bug.php?id=79099https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-7059https://www.suse.com/security/cve/CVE-2020-7059https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00023.html
Проверьте безопасность своего сайта и почты → Полная проверка домена