ГлавнаяБаза уязвимостей БДУ → BDU:2020-01763
7.8высокая

BDU:2020-01763 (CVE-2019-18888)

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2020-04-23
Описание

Уязвимость программной платформы для разработки и управления веб-приложениями Symfony связана с ошибкой приложения, которое передает непроверенный пользовательский ввод в качестве файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (30)Debian GNU/Linux (8)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Symfony (от 2.8.0 до 2.8.50 включительно)Symfony (от 3.4.0 до 3.4.34 включительно)Symfony (от 4.2.0 до 4.2.11 включительно)Symfony (от 4.3.0 до 4.3.7 включительно)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Symfony:
Обновление программного обеспечения до 4.4.4-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета symfony) до 2.8.7+dfsg-1.3+deb9u3 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DZNXRVHDQBNZQUCNRVZICPPBFRAUWUJX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VXEAOEANNIVYANTMOJ42NKSU6BGNBULZ/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения symfony до версии 2.8.7+dfsg-1.3+deb9u3

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DZNXRVHDQBNZQUCNRVZICPPBFRAUWUJX/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UED22BOXTL2SSFMGYKA64ZFHGLLJG3EA/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VXEAOEANNIVYANTMOJ42NKSU6BGNBULZ/https://symfony.com/blog/cve-2019-18888-prevent-argument-injection-in-a-mimetypeguesserhttps://nvd.nist.gov/vuln/detail/CVE-2019-18888https://security-tracker.debian.org/tracker/CVE-2019-18888https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена