ГлавнаяБаза уязвимостей БДУ → BDU:2020-02387
4.3средняя

BDU:2020-02387 (CVE-2020-7066)

Уязвимость реализации функции get_headers() интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2020-05-29
Описание

Уязвимость реализации функции get_headers() интерпретатора языка программирования PHP связана с недостаточной проверкой вводимых данных при обработке ссылок с использованием символа (\0). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации путем отправки информации на некорректный сервер

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.3.0 до 7.3.16)PHP (от 7.4.0 до 7.4.34)Ubuntu (20.04 LTS)PHP (от 7.2.0 до 7.2.9)PHP (от 7.2.0 до 7.2.29)PHP (от 7.4.0 до 7.4.4)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для PHP:
Обновление программного обеспечения до 7.4.5-1 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-05/msg00025.html

Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4330-1
https://usn.ubuntu.com/usn/usn-4330-2

Для Debian GNU/Linux:
Обновление программного обеспечения (пакета php7.3) до 7.3.19-1~deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета php7.3) до 7.3.19-1~deb10u1 или более поздней версии
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-7066

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00025.htmlhttps://access.redhat.com/security/cve/CVE-2020-7066https://bugs.php.net/bug.php?id=79329https://lists.debian.org/debian-lts-announce/2020/04/msg00021.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-7066https://security.netapp.com/advisory/ntap-20200403-0001/https://security-tracker.debian.org/tracker/CVE-2020-7066https://usn.ubuntu.com/4330-2/
Проверьте безопасность своего сайта и почты → Полная проверка домена