BDU:2021-03621
АО "НППКТ", АО «Концерн ВНИИНС», Сообщество свободного программного обеспечения, PHP Group, ООО «Рус Astra Linux Special Edition для «Эльбрус», Astra Linux Common Edition, Astra Linux Special Edition,
2020-11-17
Уязвимость функции _maliciousFilename класса Archive_Tar библиотеки PHP классов PEAR связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный PHP-код, используя специально сформированный .tar архив
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для PEAR: https://github.com/pear/Archive_Tar/issues/33
Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-28948
Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОСОН Основа: Обновление программного обеспечения php-pear до версии 1:1.10.6+submodules+notgz-1.1+deb10u2
Для ОС ОН «Стрелец»: Обновление программного обеспечения php-pear до версии 1:1.10.1+submodules+notgz-9+deb9u3