Куда я попал?
BDU:2024-09951
CVSS: 9.8
20.11.2024
Уязвимость компонентов dblib и firebird интерпретатора языка программирования PHP, позволяющая нарушителю выполнить произвольный код
Уязвимость компонентов dblib и firebird интерпретатора языка программирования PHP связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированных данных на вход веб-приложения
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 20.11.2024 |
| Класс уязвимости: | Уязвимость кода |
| Наличие эксплойта: | Существует в открытом доступе |
| Способ эксплуатации: | Манипулирование структурами данных |
| Способ устранения: | Нет данных |
| Меры по устранению: | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности вредоносного ввода в веб-приложение. Использование рекомендаций: https://php.watch/versions/8.1/releases/8.1.31 Для Ubuntu: https://ubuntu.com/security/CVE-2018-11236 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2019-11236 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux: - обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 - обновить пакет php7.3 до 7.3.31-1~deb10u8+ci202412101134+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 Для ОС Astra Linux: обновить пакет php8.2 до 8.2.26-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18 Для ОС Astra Linux: - обновить пакет php8.1 до 8.1.12-1ubuntu4.3+ci6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 - обновить пакет php7.3 до 7.3.31-1~deb10u8+ci202412101134+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-190 | Целочисленное переполнение или циклический возврат |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2024-11236 | Integer overflow in the firebird and dblib quoters causing OOB writes |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20241202-100 | 02.12.2024 | Выполнение произвольного кода в PHP |
| VULN:20250110-65 | 10.01.2025 | Выполнение произвольного кода в Tenable Security Center |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 10 | CRITICAL | 2.0 | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| 9.8 | HIGH | 3.0 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2024-11236
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| ОС и аппаратные платформы: |
|
| Ссылки на источники: |
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.