ГлавнаяБаза уязвимостей БДУ → BDU:2024-03215
9.4критическая

BDU:2024-03215

Уязвимость функции password_verify() интерпретатора языка программирования PHP, позволяющая нарушителю обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению
Опубликовано: 2024-04-24
Описание

Уязвимость функции password_verify() интерпретатора языка программирования PHP связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить несанкционированный доступ к веб-приложению

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)АЛЬТ СП 10PHP (от 8.1.0 до 8.1.28)PHP (от 8.2.0 до 8.2.18)PHP (от 8.3.0 до 8.3.6)
Способ устранения

Использование рекомендаций производителя:
http://www.php.net/ChangeLog-8.php

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет php7.3 до 7.3.31-1~deb10u6+ci202405131830+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://vuldb.com/ru/?id.260597https://safe-surf.ru/upload/VULN-new/VULN.2024-04-12.1.pdfhttps://github.com/php/php-src/security/advisories/GHSA-h746-cjrr-wfmrhttps://github.com/php/php-src/commit/0ba5229a3f7572846e91c8f5382e87785f543826http://www.php.net/ChangeLog-8.phphttps://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена