ГлавнаяБаза уязвимостей БДУ → BDU:2020-01676
7.8высокая

BDU:2020-01676 (CVE-2019-11038)

Уязвимость функции gdImageCreateFromXbm графической библиотеке GD интерпретатора языка программирования PHP, связанная с недостатком механизма проверки вводимых данных, позволяющая нарушителю получить несанкционированный доступ к информации
Опубликовано: 2020-04-22
Описание

Уязвимость функции gdImageCreateFromXbm графической библиотеке GD интерпретатора языка программирования PHP связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Fedora (30)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Red Hat Software CollectionsUbuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.1.0 до 7.1.30)PHP (от 7.2.0 до 7.2.19)PHP (от 7.3.0 до 7.3.6)Fedora (32)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для php:
https://bugs.php.net/bug.php?id=77973

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00020.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3CZ2QADQTKRHTGB2AHD7J4QQNDLBEMM6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PKSSWFR2WPMUOIB5EN5ZM252NNEPYUTG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WAZBVK6XNYEIN7RDQXESSD63QHXPLKWL/

Для Ubuntu:
https://usn.ubuntu.com/4316-1/
https://usn.ubuntu.com/4316-2/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-11038

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-11038

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libgd2 до версии 2.2.4-2+deb9u5
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00020.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3CZ2QADQTKRHTGB2AHD7J4QQNDLBEMM6/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PKSSWFR2WPMUOIB5EN5ZM252NNEPYUTG/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WAZBVK6XNYEIN7RDQXESSD63QHXPLKWL/https://usn.ubuntu.com/4316-1/https://usn.ubuntu.com/4316-2/https://access.redhat.com/security/cve/CVE-2019-11038https://bugs.php.net/bug.php?id=77973
Проверьте безопасность своего сайта и почты → Полная проверка домена