BDU:2021-05771
IBM Corp., АО "НППКТ", Canonical Ltd., Сообщество свободного программного обеспечения, PHP Group, ОО Fedora, Astra Linux Special Edition, Ubuntu, Debian GNU/Linux, ОСОН ОСнова Оnyx, PEAR Archive_Tar, D
2021-07-20
Уязвимость пакета Archive_Tar библиотеки PHP классов PEAR CMS-системы Drupal связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю оказать влияние на целостность, доступность и конфиденциальность данных
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для Pear Archive_Tar:
https://github.com/pear/Archive_Tar/commit/7789ebb2f34f9e4adb3a4152ad0d1548930a9755
https://github.com/pear/Archive_Tar/commit/b5832439b1f37331fb4f87e67fe4f
https://github.com/pear/Archive_Tar/releases/tag/1.4.14
Для Drupal: https://www.drupal.org/sa-core-2021-004
Для Debian: https://lists.debian.org/debian-lts-announce/2021/07/msg00023.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/42GPGVVFTLJYAKRI75IVB5R45NYQGEUR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CAODVMHGL5MHQWQAQTXQ7G7OE3VQZ7LS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G5LTY6COQYNMMHQJ3QIOJHEWCKD4XDFH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VJQQYDAOWHD6RDITDRPHFW7WY6BS3V5N/
Для Ubuntu: https://ubuntu.com/security/notices/USN-5027-1 https://ubuntu.com/security/notices/USN-5027-2
Для программных продуктов IBM Corp.: https://www.ibm.com/support/pages/node/6483595
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения php-pear до версии 1:1.10.13+submodules+notgz+2022032202-2
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD