BDU:2024-03785
ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», Сообщество свободного программного обеспечен Red Hat Enterprise Linux, АЛЬТ СП 10, Astra Linux Special Edition, Ubuntu, Debian GNU/Linux, РЕД ОС,
2024-04-09
Уязвимость интерпретатора языка программирования PHP связана с ошибочной обработкой файлов cookie в результате замены пробелов, точек и открытых квадратных скобок на символы подчеркивания. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перехватить сеанс и получить несанкционированный доступ к защищаемой информации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для PHP: https://github.com/php/php-src/security/advisories/GHSA-wpj3-hf5j-x4v4 https://github.com/php/php-src/commit/093c08af25fb323efa0c8e6154aa9fdeae3d3b53 https://github.com/php/php-src/releases/tag/php-8.1.28 https://github.com/php/php-src/releases/tag/php-8.2.18 https://github.com/php/php-src/releases/tag/php-8.3.6
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-2756
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-2756
Для Ubuntu: https://ubuntu.com/security/notices/USN-6757-1 https://ubuntu.com/security/notices/USN-6757-2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux: обновить пакет php7.3 до 7.3.31-1~deb10u6+ci202405131830+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux: - обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 - обновить пакет php7.3 до 7.3.31-1~deb10u6+ci202405131830+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47