Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-05887

CVSS: 4.3

07.06.2023

Уязвимость языка программирования PHP, связанная с использованием недостаточно случайных значений, позволяющая нарушителю получить доступ к конфиденциальным данным

Уязвимость языка программирования PHP связана с использованием генератором случайных чисел более узкого диапазона значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	07.06.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Вероятностные методы
Способ устранения:	Нет данных
Меры по устранению:	Для PHP: использование рекомендаций производителя: https://github.com/php/php-src/security/advisories/GHSA-76gg-c692-v2mw https://github.com/php/php-src/commit/ac4254ad764c70cb1f05c9270d8d12689fc3aeb6 https://github.com/php/php-src/commit/32c7c433ac1983c4497349051681a4f361d3d33e Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-3247 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-3247 Для Ubuntu: https://ubuntu.com/security/CVE-2023-3247 https://ubuntu.com/security/notices/USN-6199-1 Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx: Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u5osnova11 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux Special Edition 1.7: обновить пакет php7.3 до 7.3.31-1~deb10u4+ci202306211639+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-330	Use of Insufficiently Random Values (CWE-330)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-3247	Missing error check and insufficient random bytes in HTTP Digest authentication for SOAP

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
4	-	2.0	AV:N/AC:L/Au:S/C:P/I:N/A:N
4.3	MEDIUM	3.0	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-3247

Вендор:	Red Hat Inc. Сообщество свободного программного обеспечения Canonical Ltd. ООО «Ред Софт» ООО «РусБИТех-Астра» PHP Group АО «ИВК» АО "НППКТ"
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Red Hat Enterprise Linux Debian GNU/Linux Ubuntu РЕД ОС Astra Linux Special Edition PHP АЛЬТ СП 10 ОСОН ОСнова Оnyx
Версия ПО:	8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) 22.04 LTS (Ubuntu) 9 (Red Hat Enterprise Linux) 22.10 (Ubuntu) 23.04 (Ubuntu) от 8.0.0 до 8.0.29 (PHP) от 8.1.0 до 8.1.20 (PHP) от 8.2.0 до 8.2.7 (PHP) - (АЛЬТ СП 10) до 2.9 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (8) Debian GNU/Linux (10) Ubuntu (20.04 LTS) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7) Ubuntu (22.04 LTS) Red Hat Enterprise Linux (9) Ubuntu (22.10) Ubuntu (23.04) АЛЬТ СП 10 (-) ОСОН ОСнова Оnyx (до 2.9)
Ссылки на источники:	https://github.com/php/php-src/commit/32c7c433ac1983c4497349051681a4f361d3d33e https://github.com/php/php-src/commit/ac4254ad764c70cb1f05c9270d8d12689fc3aeb6 https://github.com/php/php-src/security/advisories/GHSA-76gg-c692-v2mw https://nvd.nist.gov/vuln/detail/CVE-2023-3247 https://security-tracker.debian.org/tracker/CVE-2023-3247 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47 https://access.redhat.com/security/cve/CVE-2023-3247 https://ubuntu.com/security/CVE-2023-3247 https://ubuntu.com/security/notices/USN-6199-1 https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-05887

BDU:2023-05887

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей