ГлавнаяБаза уязвимостей БДУ → BDU:2024-07679
10критическая

BDU:2024-07679 (CVE-2024-8927)

Уязвимость сценария cgi.force_redirect интерпретатора языка программирования PHP, позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2024-10-02
Описание

Уязвимость сценария cgi.force_redirect интерпретатора языка программирования PHP связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и выполнить произвольные команды

Затрагиваемое ПО и версии
Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)PHP (до 8.1.30)PHP (до 8.2.24)PHP (до 8.3.12)
Способ устранения

Использование рекомендаций производителя:
http://www.php.net/ChangeLog-8.php#8.1.30
http://www.php.net/ChangeLog-8.php#8.2.24
http://www.php.net/ChangeLog-8.php#8.3.12

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-8927

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-8927

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет php8.2 до 8.2.24-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
- обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет php7.3 до 7.3.31-1~deb10u8+ci202412101134+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет php7.3 до 7.3.31-1~deb10u8+ci202412101134+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://ubuntu.com/security/CVE-2024-8927https://security-tracker.debian.org/tracker/CVE-2024-8927https://www.cybersecurity-help.cz/vdb/SB2024092724https://securityonline.info/multiple-vulnerabilities-discovered-in-php-prompting-urgent-security-updates/?&web_view=true#google_vignettehttps://www.tenable.com/cve/CVE-2024-8927https://github.com/php/php-src/security/advisories/GHSA-94p6-54jq-9mwphttps://github.com/php/php-src/commit/48808d98f4fc2a05193cdcc1aedd6c66816450f1http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена