ГлавнаяБаза уязвимостей БДУ → BDU:2020-01756
9.3высокая

BDU:2020-01756 (CVE-2019-18887)

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с одновременным выполнением и использованием общего ресурса с неправильной синхронизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2020-04-23
Описание

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony связана с одновременным выполнением и использованием общего ресурса с неправильной синхронизацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (30)Debian GNU/Linux (8)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Symfony (от 2.8.0 до 2.8.50 включительно)Symfony (от 3.4.0 до 3.4.34 включительно)Symfony (от 4.2.0 до 4.2.11 включительно)Symfony (от 4.3.0 до 4.3.7 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Symfony:
Обновление программного обеспечения до 4.4.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u3 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VXEAOEANNIVYANTMOJ42NKSU6BGNBULZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DZNXRVHDQBNZQUCNRVZICPPBFRAUWUJX/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения symfony до версии 2.8.7+dfsg-1.3+deb9u3

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VXEAOEANNIVYANTMOJ42NKSU6BGNBULZ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DZNXRVHDQBNZQUCNRVZICPPBFRAUWUJX/https://symfony.com/blog/cve-2019-18887-use-constant-time-comparison-in-urisignerhttps://nvd.nist.gov/vuln/detail/CVE-2019-18887https://security-tracker.debian.org/tracker/CVE-2019-18887https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена