ГлавнаяБаза уязвимостей БДУ → BDU:2021-05279
5высокая

BDU:2021-05279 (CVE-2020-36193)

Уязвимость файла Tar.php пакета Archive_Tar библиотеки классов PHP PEAR, связанная с некорректным ограничением имени пути к каталогу, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2021-11-02
Описание

Уязвимость файла Tar.php пакета Archive_Tar библиотеки классов PHP PEAR связана с некорректной проверкой символьных ссылок. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PEAR Archive_Tar (до 1.4.11 включительно)Drupal (от 7.0 до 7.78)Drupal (от 8.9.0 до 8.9.13)Drupal (от 9.0.0 до 9.0.11)Drupal (от 9.1.0 до 9.1.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для PEAR:
использование рекомендаций производителя: https://github.com/pear/Archive_Tar/commit/cde460582ff389404b5b3ccb59374e9b389de916
https://www.drupal.org/sa-core-2021-001

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-36193

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения php-pear до версии 1:1.10.6+submodules+notgz-1.1+deb10u2

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет php-pear до 1:1.10.1+submodules+notgz-9+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения php-pear до версии 1:1.10.1+submodules+notgz-9+deb9u3

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://github.com/pear/Archive_Tar/commit/7d8782d95f74b5889bfaaad43e74086f1918ec2bhttps://github.com/pear/Archive_Tar/commit/b6da5c32254162fa0752616479fb3d3c5297c1cfhttps://github.com/pear/Archive_Tar/commit/cde460582ff389404b5b3ccb59374e9b389de916https://github.com/pear/Archive_Tar/commit/dc721bd8616e05ea89b7abcff4cf1e3e96963183https://nvd.nist.gov/vuln/detail/CVE-2020-36193https://security-tracker.debian.org/tracker/CVE-2020-36193https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://www.drupal.org/sa-core-2021-001
Проверьте безопасность своего сайта и почты → Полная проверка домена