ГлавнаяБаза уязвимостей БДУ → BDU:2025-06050
7.6критическая

BDU:2025-06050 (CVE-2024-11235)

Уязвимость функции php_request_shutdown интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-05-28
Описание

Уязвимость функции php_request_shutdown интерпретатора языка программирования PHP связана с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (20.04 LTS)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)АЛЬТ СП 10Fedora (40)Fedora (41)Ubuntu (24.04 LTS)Astra Linux Special Edition (1.8)Ubuntu (24.10)PHP (от 8.4.0 до 8.4.5)Fedora (42)Ubuntu (25.04)Red Hat Enterprise Linux (10)PHP (до 8.3.18)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций:
Для PHP:
https://github.com/php/php-src/security/advisories/GHSA-rwp7-7vc6-8477

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-11235

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-11235

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EL5UREZMWFWT5FOZ4GBWYWOKJITDZSHR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7NLLFOOGHWXMA7MYVJ2NW5GLS3EZK645/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3VAN7UDIIIFYDZSCINHP3CRXZOUCNOQC/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет php8.2 до 8.2.28-1~deb12u1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для ОС Astra Linux:
обновить пакет php8.1 до 8.1.12-1ubuntu4.3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет php8.1 до 8.1.12-1ubuntu4.3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
обновить пакет php8.2 до 8.2.29-1~deb12u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет php8.2 до 8.2.29-1~deb12u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://github.com/php/php-src/security/advisories/GHSA-rwp7-7vc6-8477http://repo.red-soft.ru/redos/7.3c/x86_64/updates/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://access.redhat.com/security/cve/CVE-2024-11235https://ubuntu.com/security/CVE-2024-11235https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EL5UREZMWFWT5FOZ4GBWYWOKJITDZSHR/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7NLLFOOGHWXMA7MYVJ2NW5GLS3EZK645/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3VAN7UDIIIFYDZSCINHP3CRXZOUCNOQC/
Проверьте безопасность своего сайта и почты → Полная проверка домена