ГлавнаяБаза уязвимостей БДУ → BDU:2021-03703
5средняя

BDU:2021-03703 (CVE-2021-21705)

Уязвимость функции php_url_parse_ex() интерпретатора языка программирования PHP, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2021-07-20
Описание

Уязвимость функции php_url_parse_ex() интерпретатора языка программирования PHP связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Red Hat Software CollectionsAstra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PHP (до 7.4.21)PHP (от 8.0 до 8.0.8)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Использование рекомендаций:
Для PHP:
https://www.php.net/ChangeLog-8.php#8.0.8
https://www.php.net/ChangeLog-7.php#7.4.21

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-21705

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-php-cve-2021-21708-cve-2022-31625-cve-2021-21702-cve-2021-21705-cve-2021-/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u1osnovau3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет php7.0 до 7.0.33-0+deb9u12+ci202111191628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://www.php.net/ChangeLog-8.php#8.0.8https://www.php.net/ChangeLog-7.php#7.4.21https://bugs.php.net/bug.php?id=81122https://github.com/php/php-src/commit/5a1fe88ac120d71064bdd314dce1e49c86ff0585https://github.com/php/php-src/commit/5cea97e083448aaa2352320612541c895178b3b5https://access.redhat.com/security/cve/CVE-2021-21705https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена