ГлавнаяБаза уязвимостей БДУ → BDU:2020-01633
10критическая

BDU:2020-01633 (CVE-2019-11036)

Уязвимость функции exif_process_IFD_TAG интерпретатора языка программирования PHP, связанная с выходом операции за допустимые границы буфера данных, позволяющая нарушителю получить несанкционированный доступ к информации или вызвать отказ в обслуживании
Опубликовано: 2020-04-22
Описание

Уязвимость функции exif_process_IFD_TAG интерпретатора языка программирования PHP связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Fedora (28)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (12.04 ESM)Ubuntu (19.04)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.1.0 до 7.1.29)PHP (от 7.2.0 до 7.2.18)PHP (от 7.3.0 до 7.3.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для php5:
Обновление программного обеспечения до 5.6.40+dfsg-0+deb8u3 или более поздней версии

Для php7:
Обновление программного обеспечения до 7.0.33-0+deb9u5 или более поздней версии

Для php7.3:
Обновление программного обеспечения до 7.3.4-2 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php5.0) до 5.6.40+dfsg-0+deb8u3 или более поздней версии, (пакета php7.0) до 7.0.33-0+deb9u5 или более поздней версии, (пакета php7.3) до 7.3.9-1~deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета php5.0) до 5.6.40+dfsg-0+deb8u3 или более поздней версии, (пакета php7.0) до 7.0.33-0+deb9u5 или более поздней версии, (пакета php7.3) до 7.3.9-1~deb10u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00010.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00012.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00041.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00044.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2NFXYNCXZCPYT7ZN4ZLI5EPQQW44FRRO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3BY2XUUAN277LS7HKAOGL4DVGAELOJV3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WN2HLPGEZEF4MFM5YC5FILZB5QEQFP3A/

Для Ubuntu:
https://usn.ubuntu.com/4009-1/
https://usn.ubuntu.com/3566-2/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00010.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-06/msg00012.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-06/msg00041.htmlhttps://lists.opensuse.org/opensuse-security-announce/2019-06/msg00044.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2NFXYNCXZCPYT7ZN4ZLI5EPQQW44FRRO/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3BY2XUUAN277LS7HKAOGL4DVGAELOJV3/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WN2HLPGEZEF4MFM5YC5FILZB5QEQFP3A/https://usn.ubuntu.com/4009-1/
Проверьте безопасность своего сайта и почты → Полная проверка домена