Уязвимость BDU:2022-04762

Дата: 27.06.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04762.

Наименование уязвимости: Уязвимость реализации функции finfo_buffer() интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость реализации функции finfo_buffer() интерпретатора языка программирования PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Fedora Project Fedora 36 | Прикладное ПО информационных систем PHP Group PHP до 8.1.8 |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | Fedora 36 |
Дата выявления: 27.06.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для PHP:
https://www.php.net/ChangeLog-8.php#8.1.8
https://gist.github.com/cmb69/90aba3c8ff8d42c5598e31846d259aa7
https://bugs.php.net/bug.php?id=81723
https://github.com/php/php-src/commit/ca6d511fa54b34d5b75bf120a86482a1b9e1e686

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-ec0491574d

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-php-cve-2021-21708-cve-2022-31625-cve-2021-21702-cve-2021-21705-cve-2021-/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-31627.

Тип ошибки CWE: CWE-119, CWE-122
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.php.net/ChangeLog-8.php#8.1.8
https://bugs.php.net/bug.php?id=81723
https://github.com/php/php-src/commit/ca6d511fa54b34d5b75bf120a86482a1b9e1e686
https://www.cybersecurity-help.cz/vdb/SB2022072549
https://bugzilla.redhat.com/show_bug.cgi?id=2107018
https://access.redhat.com/security/cve/cve-2022-31627
https://gist.github.com/cmb69/90aba3c8ff8d42c5598e31846d259aa7
https://bodhi.fedoraproject.org/updates/FEDORA-2022-ec0491574d
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-php-cve-2021-21708-cve-2022-31625-cve-2021-21702-cve-2021-21705-cve-2021-/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *