ГлавнаяБаза уязвимостей БДУ → BDU:2021-05228
6.8высокая

BDU:2021-05228 (CVE-2021-21703)

Уязвимость компонента SAPI расширения PHP-FPM интерпретатора языка программирования PHP, позволяющая нарушителю повысить свои привилегии до root
Опубликовано: 2021-10-29
Описание

Уязвимость компонента SAPI расширения PHP-FPM интерпретатора языка программирования PHP связана с ошибками разграничения доступа при совместном выполнении процесса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до root

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (33)Fedora (34)Debian GNU/Linux (11)PHP (от 7.3.0 до 7.3.31 включительно)PHP (от 7.4.0 до 7.4.25 включительно)PHP (от 8.0.0 до 8.0.12 включительно)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Использование рекомендаций:

Для Debian/GNU Linux:
https://lists.debian.org/debian-lts-announce/2021/10/msg00021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JO5RA6YOBGGGKLIA6F6BQRZDDECF5L3R/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PBM3KKB3RY2YPOKNMC4HIH7IH3T3WC74/

Для PHP:
https://bugs.php.net/bug.php?id=81026

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-php-cve-2021-21708-cve-2022-31625-cve-2021-21702-cve-2021-21705-cve-2021-/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211126SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u1osnovau3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет php7.0 до 7.0.33-0+deb9u12+ci202111191628+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://lists.debian.org/debian-lts-announce/2021/10/msg00021.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JO5RA6YOBGGGKLIA6F6BQRZDDECF5L3R/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PBM3KKB3RY2YPOKNMC4HIH7IH3T3WC74/https://bugs.php.net/bug.php?id=81026https://www.debian.org/security/2021/dsa-4993https://www.debian.org/security/2021/dsa-4992https://www.openwall.com/lists/oss-security/2021/10/26/7https://nvd.nist.gov/vuln/detail/CVE-2021-21703
Проверьте безопасность своего сайта и почты → Полная проверка домена