ГлавнаяБаза уязвимостей БДУ → BDU:2024-03785
6.4средняя

BDU:2024-03785 (CVE-2024-2756)

Уязвимость интерпретатора языка программирования PHP, связанная с ошибочной обработкой файлов cookie, позволяющая нарушителю перехватить сеанс и получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-05-17
Описание

Уязвимость интерпретатора языка программирования PHP связана с ошибочной обработкой файлов cookie в результате замены пробелов, точек и открытых квадратных скобок на символы подчеркивания. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перехватить сеанс и получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Ubuntu (18.04 ESM)АЛЬТ СП 10Ubuntu (23.10)PHP (от 8.2.0 до 8.2.18)PHP (от 8.3.0 до 8.3.6)PHP (до 8.1.28)
Способ устранения

Использование рекомендаций:
Для PHP:
https://github.com/php/php-src/security/advisories/GHSA-wpj3-hf5j-x4v4
https://github.com/php/php-src/commit/093c08af25fb323efa0c8e6154aa9fdeae3d3b53
https://github.com/php/php-src/releases/tag/php-8.1.28
https://github.com/php/php-src/releases/tag/php-8.2.18
https://github.com/php/php-src/releases/tag/php-8.3.6

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-2756

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-2756

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6757-1
https://ubuntu.com/security/notices/USN-6757-2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет php7.3 до 7.3.31-1~deb10u6+ci202405131830+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
- обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет php7.3 до 7.3.31-1~deb10u6+ci202405131830+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/04/12/11https://lists.debian.org/debian-lts-announce/2024/05/msg00005.htmlhttps://security-tracker.debian.org/tracker/CVE-2024-2756https://access.redhat.com/security/cve/CVE-2024-2756https://github.com/php/php-src/security/advisories/GHSA-wpj3-hf5j-x4v4https://github.com/php/php-src/commit/093c08af25fb323efa0c8e6154aa9fdeae3d3b53https://vuldb.com/ru/?id.260596http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена