ГлавнаяБаза уязвимостей БДУ → BDU:2021-01911
3.3средняя

BDU:2021-01911 (CVE-2020-7068)

Уязвимость функции phar_parse_zipfile языка программирования php, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2021-04-06
Описание

Уязвимость функции phar_parse_zipfile языка программирования php связана с использованием памяти после её освобождения. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (от 7.2.0 до 7.2.33)PHP (от 7.3.0 до 7.3.21)PHP (от 7.4.0 до 7.4.9)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПОСОН ОСнова Оnyx (до 2.6)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Php:
Обновление программного обеспечения до 7.4.16-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u9 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-7068


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u1osnovau3

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Для ОС Astra Linux:
обновить пакет php7.3 до 7.3.29-1~deb10u1+ci202109271134+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл3.3 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-7068https://bugs.php.net/bug.php?id=79797https://nvd.nist.gov/vuln/detail/CVE-2020-7068https://security-tracker.debian.org/tracker/CVE-2020-7068https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена