Уязвимость BDU:2022-02944

Идентификатор: BDU:2022-02944.
Наименование уязвимости: Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer, позволяющая нарушителю выполнить произвольные команды.
Описание уязвимости: Уязвимость реализации метода VcsDriver::getFileContent() менеджера зависимостей для PHP Composer связана с недостаточной проверкой вводимых данных при обработке аргументов «$file» или «$identifier». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Уязвимое ПО: Операционная система Fedora Project Fedora 34 | Операционная система Fedora Project Fedora 35 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Прикладное ПО информационных систем Nils Adermann, Jordi Boggiano Composer до 1.10.26 | Прикладное ПО информационных систем Nils Adermann, Jordi Boggiano Composer от 2.0 до 2.2.12 | Прикладное ПО информационных систем Nils Adermann, Jordi Boggiano Composer от 2.3 до 2.3.5 | Прикладное ПО информационных систем Tenable, Inc. Tenable.sc до 5.21.0 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |
Наименование ОС и тип аппаратной платформы: Fedora 34 | Fedora 35 | РЕД ОС 73 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 13.04.2022.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)
Возможные меры по устранению:
Использование рекомендаций:
Для Composer:
https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/
Для Tenable.sc:
https://www.tenable.com/security/tns-2022-09
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения composer до версии 1.8.4-1+deb10u2
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-24828.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/composer/composer/commit/2c40c53637c5c7e43fff7c09d3d324d632734709
https://github.com/composer/composer/security/advisories/GHSA-x7cr-6qr6-2hh6
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GWT6LDSRY7SFMTDZWJ4MS2ZBXHL7VQEF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QD7JQWL6C4GVROO25DTXWYWM6BPOPPCG/
https://www.tenable.com/security/tns-2022-09
https://nvd.nist.gov/vuln/detail/CVE-2022-24828
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/



