ГлавнаяБаза уязвимостей БДУ → BDU:2023-01072
10критическая

BDU:2023-01072

Уязвимость компонента AbstractSessionListener программной платформы для разработки и управления веб-приложениями Symfony, позволяющая нарушителю получить доступ к сеансу пользователя
Опубликовано: 2023-03-06
Описание

Уязвимость компонента AbstractSessionListener программной платформы для разработки и управления веб-приложениями Symfony связана с некорректной процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к сеансу пользователя

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Symfony (от 2.0.0 до 4.4.50)Symfony (от 5.0.0 до 5.4.20)Symfony (от 6.0.0 до 6.0.20)Symfony (от 6.1.0 до 6.1.12)Symfony (от 6.2.0 до 6.2.6)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
https://github.com/symfony/symfony/security/advisories/GHSA-h7vf-5wrv-9fhv

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения symfony до версии 3.4.22+dfsg-2+deb10u3

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет symfony до 2.8.7+dfsg-1.3+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/symfony/symfony/commit/d2f6322af9444ac5cd1ef3ac6f280dbef7f9d1fbhttps://github.com/symfony/symfony/security/advisories/GHSA-h7vf-5wrv-9fhvhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена