Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2020-03142

CVSS: 5.9
08.03.2019

Уязвимость функции exif_process_IFD_in_MAKERNOTE расширения EXIF интерпретатора языка программирования PHP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость функции exif_process_IFD_in_MAKERNOTE расширения EXIF интерпретатора языка программирования PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 08.03.2019
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Манипулирование структурами данных
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для PHP:
https://bugs.php.net/bug.php?id=77659

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00104.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00012.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00041.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00044.html

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4403
https://lists.debian.org/debian-lts-announce/2019/03/msg00043.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-3922-1
https://ubuntu.com/security/notices/USN-3922-2
https://ubuntu.com/security/notices/USN-3922-3

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:2519
https://access.redhat.com/errata/RHSA-2019:3299

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-119 Выполнение операций за пределами буфера памяти

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2019-9639 An issue was discovered in the EXIF component in PHP before 7.1.27, 7.2.x before 7.2.16, and 7.3.x before 7.3.3. There is an...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
5.4 MEDIUM 2.0 AV:N/AC:H/Au:N/C:C/I:N/A:N
5.9 MEDIUM 3.0 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2019-9639
Вендор:
  • Red Hat Inc.
  • Canonical Ltd.
  • Сообщество свободного программного обеспечения
  • Novell Inc.
  • PHP Group
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
Наименование ПО:
  • Red Hat Enterprise Linux
  • Ubuntu
  • Debian GNU/Linux
  • OpenSUSE Leap
  • Red Hat Software Collections
  • PHP
Версия ПО:
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 9 (Debian GNU/Linux)
  • 42.3 (OpenSUSE Leap)
  • 18.04 LTS (Ubuntu)
  • 18.10 (Ubuntu)
  • 8.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 14.04 ESM (Ubuntu)
  • - (Red Hat Software Collections)
  • до 7.1.27 (PHP)
  • от 7.2.0 до 7.2.16 (PHP)
  • от 7.3.0 до 7.3.3 (PHP)
ОС и аппаратные платформы:
  • Red Hat Enterprise Linux (7)
  • Ubuntu (16.04 LTS)
  • Debian GNU/Linux (9)
  • OpenSUSE Leap (42.3)
  • Ubuntu (18.04 LTS)
  • Ubuntu (18.10)
  • Debian GNU/Linux (8.0)
  • Ubuntu (12.04 ESM)
  • Red Hat Enterprise Linux (8)
  • OpenSUSE Leap (15.0)
  • OpenSUSE Leap (15.1)
  • Ubuntu (14.04 ESM)
  • Red Hat Software Collections (-)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.