ГлавнаяБаза уязвимостей БДУ → BDU:2022-00467
9.4критическая

BDU:2022-00467 (CVE-2020-29050)

Уязвимость поисковой системы Sphinx, связанная с ошибкой обхода пути, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2022-01-25
Описание

Уязвимость поисковой системы Sphinx связана с ошибкой обхода пути. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью оператора CALL SNIPPETS или функции load_file()

Затрагиваемое ПО и версии
Debian GNU/Linux (10)РЕД ОС (7.3)Sphinx (до 3.1.1 включительно)
Способ устранения

Использование рекомендаций:
Для Sphinx:
https://github.com/manticoresoftware/manticoresearch/commit/6e597ff61e1e910559f6ed541ff32520085af6aa
https://salsa.debian.org/debian/sphinxsearch/-/blob/4d6fe40644130308604845db43d3588e715ec85d/debian/patches/06-CVE-2020-29050.patch
https://github.com/manticoresoftware/manticoresearch/commit/66b5761ad258c60b1866a8e1333f86e74f48035

Для Debian:
https://www.debian.org/security/2022/dsa-5036

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://www.debian.org/security/2022/dsa-5036https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29050https://vuldb.com/ru/?id.189853https://github.com/manticoresoftware/manticoresearch/commit/6e597ff61e1e910559f6ed541ff32520085af6aahttps://salsa.debian.org/debian/sphinxsearch/-/blob/4d6fe40644130308604845db43d3588e715ec85d/debian/patches/06-CVE-2020-29050.patchhttps://github.com/manticoresoftware/manticoresearch/commit/66b5761ad258c60b1866a8e1333f86e74f48035http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://blog.wirhabenstil.de/2019/08/19/sphinxsearch-0-0-0-09306-cve-2019-14511/
Проверьте безопасность своего сайта и почты → Полная проверка домена