ГлавнаяБаза уязвимостей БДУ → BDU:2021-05771
3.6высокая

BDU:2021-05771 (CVE-2021-32610)

Уязвимость пакета Archive_Tar библиотеки PHP классов PEAR CMS-системы Drupal, позволяющая нарушителю оказать влияние на целостность, доступность и конфиденциальность данных
Опубликовано: 2021-12-01
Описание

Уязвимость пакета Archive_Tar библиотеки PHP классов PEAR CMS-системы Drupal связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю оказать влияние на целостность, доступность и конфиденциальность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (20.04 LTS)Fedora (33)Ubuntu (21.04)Fedora (34)Ubuntu (16.04 ESM)Fedora (35)PEAR Archive_Tar (до 1.4.14)Drupal (от 9.2 до 9.2.2)Drupal (от 9.1 до 9.1.11)Drupal (от 8.9 до 8.9.17)Drupal (от 7.0 до 7.82)Astra Linux Special Edition (1.7)API Connect (от 5.0.0.0 до 5.0.8.12 включительно)API Connect (от 2018.4.1.0 до 2018.4.1.16 включительно)API Connect (от 10.0.1.0 до 10.0.1.3 включительно)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)
Способ устранения

Использование рекомендаций:
Для Pear Archive_Tar:
https://github.com/pear/Archive_Tar/commit/7789ebb2f34f9e4adb3a4152ad0d1548930a9755
https://github.com/pear/Archive_Tar/commit/b5832439b1f37331fb4f87e67fe4f
https://github.com/pear/Archive_Tar/releases/tag/1.4.14

Для Drupal:
https://www.drupal.org/sa-core-2021-004

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00023.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/42GPGVVFTLJYAKRI75IVB5R45NYQGEUR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CAODVMHGL5MHQWQAQTXQ7G7OE3VQZ7LS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G5LTY6COQYNMMHQJ3QIOJHEWCKD4XDFH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VJQQYDAOWHD6RDITDRPHFW7WY6BS3V5N/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5027-1
https://ubuntu.com/security/notices/USN-5027-2

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6483595

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php-pear до версии 1:1.10.13+submodules+notgz+2022032202-2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Оценка CVSS
Балл3.6 — высокая опасность
Источники и патчи
https://github.com/pear/Archive_Tar/commit/7789ebb2f34f9e4adb3a4152ad0d1548930a9755https://github.com/pear/Archive_Tar/commit/b5832439b1f37331fb4f87e67fe4fhttps://github.com/pear/Archive_Tar/releases/tag/1.4.14https://lists.debian.org/debian-lts-announce/2021/07/msg00023.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/42GPGVVFTLJYAKRI75IVB5R45NYQGEUR/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CAODVMHGL5MHQWQAQTXQ7G7OE3VQZ7LS/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G5LTY6COQYNMMHQJ3QIOJHEWCKD4XDFH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VJQQYDAOWHD6RDITDRPHFW7WY6BS3V5N/
Проверьте безопасность своего сайта и почты → Полная проверка домена