Уязвимость BDU:2022-02944

Уязвимость BDU:2022-02944

Идентификатор: BDU:2022-02944.

Наименование уязвимости: Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer связана с недостаточной проверкой вводимых данных при обработке аргументов «$file» или «$identifier». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Уязвимое ПО: Операционная система Fedora Project Fedora 34 | Операционная система Fedora Project Fedora 35 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Прикладное ПО информационных систем Nils Adermann, Jordi Boggiano Composer до 1.10.26 | Прикладное ПО информационных систем Nils Adermann, Jordi Boggiano Composer от 2.0 до 2.2.12 | Прикладное ПО информационных систем Nils Adermann, Jordi Boggiano Composer от 2.3 до 2.3.5 | Прикладное ПО информационных систем Tenable, Inc. Tenable.sc до 5.21.0 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: Fedora 34 | Fedora 35 | РЕД ОС 73 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 13.04.2022.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению:
Использование рекомендаций:
Для Composer:
https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/

Для Tenable.sc:
https://www.tenable.com/security/tns-2022-09

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения composer до версии 1.8.4-1+deb10u2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-24828.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709
https://github.com/composer/composer/security/advisories/GHSA-x7cr-6qr6-2hh6
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/
https://www.tenable.com/security/tns-2022-09
https://nvd.nist.gov/vuln/detail/CVE-2022-24828
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: