ГлавнаяБаза уязвимостей БДУ → BDU:2021-01913
5средняя

BDU:2021-01913 (CVE-2020-7070)

Уязвимость механизма обработки файлов cookie языка программирования php, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2021-04-06
Описание

Уязвимость механизма обработки файлов cookie языка программирования php связана с зависимостью от cookie-файлов без проверки их достоверности и целостности. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Ubuntu (12.04)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Debian GNU/Linux (10)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Ubuntu (20.04 LTS)Ubuntu (20.10)OpenSUSE Leap (15.2)Fedora (33)PHP (от 7.2.0 до 7.2.34)PHP (от 7.3.0 до 7.3.23)PHP (от 7.4.0 до 7.4.11)Astra Linux Special Edition (1.7)Альт 8 СПОСОН ОСнова Оnyx (до 2.6)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Php:
Обновление программного обеспечения до 7.4.16-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u9 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-10/msg00045.html
https://lists.opensuse.org/opensuse-security-announce/2020-10/msg00067.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-7070

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4583-2
https://ubuntu.com/security/notices/USN-4583-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RRU57N3OSYZPOMFWPRDNVH7EMYOTSZ66/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P2J3ZZDHCSX65T5QWV4AHBN7MOJXBEKG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7EVDN7D3IB4EAI4D3ZOM2OJKQ5SD7K4E/

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u1osnovau3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет php7.0 до 7.0.33-0+deb9u12+ci202111191628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php7.0 до версии 7.0.33.repack1-0+deb9u10.osnova6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2020-7070https://bugs.php.net/bug.php?id=79699https://hackerone.com/reports/895727https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7EVDN7D3IB4EAI4D3ZOM2OJKQ5SD7K4E/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P2J3ZZDHCSX65T5QWV4AHBN7MOJXBEKG/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RRU57N3OSYZPOMFWPRDNVH7EMYOTSZ66/https://lists.opensuse.org/opensuse-security-announce/2020-10/msg00045.htmlhttps://lists.opensuse.org/opensuse-security-announce/2020-10/msg00067.html
Проверьте безопасность своего сайта и почты → Полная проверка домена