Обновления безопасности
Назад к п.2
2.1340 Множественные уязвимости PHP(CVE-2021-21708, CVE-2022-31625, CVE-2021-21702, CVE-2021-21705, CVE-2021-21704, CVE-2021-21703, CVE-2022-31627, CVE-2022-31626)
| Идентификатор бюллетеня | ROS-20220826-01 |
| Идентификатор CVE | CVE-2021-21708 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-05350 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Описание уязвимости | Уязвимость в функции php_filter_float() интерпретатора языка программирования PHP связана с ошибкой использования памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать специально созданные входные данные приложению, использующему затронутую функцию PHP, вызвать ошибку использования после освобождения и привести к сбою процесса php-fpm |
| Идентификатор CVE | CVE-2021-21708 |
| Идентификатор БДУ ФСТЭК России | |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Описание уязвимости | Уязвимость в функции php_filter_float() интерпретатора языка программирования PHP связана с ошибкой использования памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать специально созданные входные данные приложению, использующему затронутую функцию PHP, вызвать ошибку использования после освобождения и привести к сбою процесса php-fpm |
| Идентификатор CVE | CVE-2022-31625 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-05351 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость в функции pg_query_params() интерпретатора языка программирования PHP связана с ошибкой использования неинициализированного массива в функции pg_query_params(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать повреждение памяти и выполнить произвольный код в системе |
| Идентификатор CVE | CVE-2021-21702 |
| Идентификатор БДУ ФСТЭК России | BDU:2021-03159 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:N/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Описание уязвимости | Уязвимость расширения SOAP интерпретатора PHP связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать аварийное завершение работы приложения |
| Идентификатор CVE | CVE-2021-21705 |
| Идентификатор БДУ ФСТЭК России | BDU:2021-03703 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:N |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| Описание уязвимости | Уязвимость функции php_url_parse_ex() интерпретатора языка программирования PHP связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку |
| Идентификатор CVE | CVE-2021-21704 |
| Идентификатор БДУ ФСТЭК России | BDU:2021-03559 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:N/I:N/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Описание уязвимости | Уязвимость модуля pdo_firebase интерпретатора языка программирования PHP связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании |
| Идентификатор CVE | CVE-2021-21703 |
| Идентификатор БДУ ФСТЭК России | BDU:2021-05228 |
| Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:S/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость компонента SAPI расширения PHP-FPM интерпретатора языка программирования PHP связана с ошибками разграничения доступа при совместном выполнении процесса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до root |
| Идентификатор CVE | CVE-2022-31627 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-04762 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость реализации функции finfo_buffer() интерпретатора языка программирования PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
| Идентификатор CVE | CVE-2022-31626 |
| Идентификатор БДУ ФСТЭК России | BDU:2022-03725 |
| Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Описание уязвимости | Уязвимость функции mysqlnd/pdo (mysqlnd_wireprotocol.c) интерпретатора языка программирования PHP связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
| Наименование уязвимого пакета: | php |
| Версия уязвимого пакета младше: | 8.1.9-1 |
| Пакет обновления: | php-0:8.1.9-1.el7.x86_64 |
| Версия ОС | 7.3 |
| Архитектура ОС | х86_64 |
| Возможные меры по устранению уязвимости |
# dnf install php81-release # dnf clean all # dnf makecache # dnf update php* |
| Дата публикации бюллетеня | 26.08.2022 |
Дата последнего изменения: 14.09.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.