Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libapache2-mod-php7.0
(any)
libphp7.0-embed
(any)
php7.0
(any)
php7.0-bcmath
(any)
php7.0-bz2
(any)
php7.0-cgi
(any)
php7.0-cli
(any)
php7.0-common
(any)
php7.0-curl
(any)
php7.0-dba
(any)
php7.0-dev
(any)
php7.0-enchant
(any)
php7.0-fpm
(any)
php7.0-gd
(any)
php7.0-gmp
(any)
php7.0-imap
(any)
php7.0-interbase
(any)
php7.0-intl
(any)
php7.0-json
(any)
php7.0-ldap
(any)
php7.0-mbstring
(any)
php7.0-mcrypt
(any)
php7.0-mysql
(any)
php7.0-odbc
(any)
php7.0-opcache
(any)
php7.0-pgsql
(any)
php7.0-phpdbg
(any)
php7.0-pspell
(any)
php7.0-readline
(any)
php7.0-recode
(any)
php7.0-snmp
(any)
php7.0-soap
(any)
php7.0-sqlite3
(any)
php7.0-sybase
(any)
php7.0-tidy
(any)
php7.0-xml
(any)
php7.0-xmlrpc
(any)
php7.0-xsl
(any)
php7.0-zip
(any)
Описание
В PHP, широко используемом языке общего назначения с открытым исходным
кодом, было обнаружено несколько уязвимостей:
CVE-2017-11144
Отказ в обслуживании в расширении openssl из-за некорректной проверки возвращаемого
значения функции шифрования OpenSSL
CVE-2017-11145
Чтение за пределами выделенного буфера памяти в функции wddx_deserialize()
CVE-2017-11628
Переполнение буфера в API для грамматического разбора INI
CVE-2017-12932 /
CVE-2017-12934
Использование указателей после освобождения памяти в ходе десериализации
CVE-2017-12933
Чтение за пределами выделенного буфера памяти в функции finish_nested_data()
CVE-2017-16642
Чтение за пределами выделенного буфера памяти в функции timelib_meridian()
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.0.27-0+deb9u1.
Рекомендуется обновить пакеты php7.0.
С подробным статусом поддержки безопасности php7.0 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/php7.0">https://security-tracker.debian.org/tracker/php7.0">https://security-tracker.debian.org/tracker/php7.0
кодом, было обнаружено несколько уязвимостей:
CVE-2017-11144
Отказ в обслуживании в расширении openssl из-за некорректной проверки возвращаемого
значения функции шифрования OpenSSL
CVE-2017-11145
Чтение за пределами выделенного буфера памяти в функции wddx_deserialize()
CVE-2017-11628
Переполнение буфера в API для грамматического разбора INI
CVE-2017-12932 /
CVE-2017-12934
Использование указателей после освобождения памяти в ходе десериализации
CVE-2017-12933
Чтение за пределами выделенного буфера памяти в функции finish_nested_data()
CVE-2017-16642
Чтение за пределами выделенного буфера памяти в функции timelib_meridian()
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.0.27-0+deb9u1.
Рекомендуется обновить пакеты php7.0.
С подробным статусом поддержки безопасности php7.0 можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/php7.0">https://security-tracker.debian.org/tracker/php7.0">https://security-tracker.debian.org/tracker/php7.0
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libapache2-mod-php7.0 - 7.0.27-0+deb9u1
libphp7.0-embed - 7.0.27-0+deb9u1
php7.0 - 7.0.27-0+deb9u1
php7.0-bcmath - 7.0.27-0+deb9u1
php7.0-bz2 - 7.0.27-0+deb9u1
php7.0-cgi - 7.0.27-0+deb9u1
php7.0-cli - 7.0.27-0+deb9u1
php7.0-common - 7.0.27-0+deb9u1
php7.0-curl - 7.0.27-0+deb9u1
php7.0-dba - 7.0.27-0+deb9u1
php7.0-dev - 7.0.27-0+deb9u1
php7.0-enchant - 7.0.27-0+deb9u1
php7.0-fpm - 7.0.27-0+deb9u1
php7.0-gd - 7.0.27-0+deb9u1
php7.0-gmp - 7.0.27-0+deb9u1
php7.0-imap - 7.0.27-0+deb9u1
php7.0-interbase - 7.0.27-0+deb9u1
php7.0-intl - 7.0.27-0+deb9u1
php7.0-json - 7.0.27-0+deb9u1
php7.0-ldap - 7.0.27-0+deb9u1
php7.0-mbstring - 7.0.27-0+deb9u1
php7.0-mcrypt - 7.0.27-0+deb9u1
php7.0-mysql - 7.0.27-0+deb9u1
php7.0-odbc - 7.0.27-0+deb9u1
php7.0-opcache - 7.0.27-0+deb9u1
php7.0-pgsql - 7.0.27-0+deb9u1
php7.0-phpdbg - 7.0.27-0+deb9u1
php7.0-pspell - 7.0.27-0+deb9u1
php7.0-readline - 7.0.27-0+deb9u1
php7.0-recode - 7.0.27-0+deb9u1
php7.0-snmp - 7.0.27-0+deb9u1
php7.0-soap - 7.0.27-0+deb9u1
php7.0-sqlite3 - 7.0.27-0+deb9u1
php7.0-sybase - 7.0.27-0+deb9u1
php7.0-tidy - 7.0.27-0+deb9u1
php7.0-xml - 7.0.27-0+deb9u1
php7.0-xmlrpc - 7.0.27-0+deb9u1
php7.0-xsl - 7.0.27-0+deb9u1
php7.0-zip - 7.0.27-0+deb9u1
Debian GNU/Linux 9:
noarch:
libapache2-mod-php7.0 - 7.0.27-0+deb9u1
libphp7.0-embed - 7.0.27-0+deb9u1
php7.0 - 7.0.27-0+deb9u1
php7.0-bcmath - 7.0.27-0+deb9u1
php7.0-bz2 - 7.0.27-0+deb9u1
php7.0-cgi - 7.0.27-0+deb9u1
php7.0-cli - 7.0.27-0+deb9u1
php7.0-common - 7.0.27-0+deb9u1
php7.0-curl - 7.0.27-0+deb9u1
php7.0-dba - 7.0.27-0+deb9u1
php7.0-dev - 7.0.27-0+deb9u1
php7.0-enchant - 7.0.27-0+deb9u1
php7.0-fpm - 7.0.27-0+deb9u1
php7.0-gd - 7.0.27-0+deb9u1
php7.0-gmp - 7.0.27-0+deb9u1
php7.0-imap - 7.0.27-0+deb9u1
php7.0-interbase - 7.0.27-0+deb9u1
php7.0-intl - 7.0.27-0+deb9u1
php7.0-json - 7.0.27-0+deb9u1
php7.0-ldap - 7.0.27-0+deb9u1
php7.0-mbstring - 7.0.27-0+deb9u1
php7.0-mcrypt - 7.0.27-0+deb9u1
php7.0-mysql - 7.0.27-0+deb9u1
php7.0-odbc - 7.0.27-0+deb9u1
php7.0-opcache - 7.0.27-0+deb9u1
php7.0-pgsql - 7.0.27-0+deb9u1
php7.0-phpdbg - 7.0.27-0+deb9u1
php7.0-pspell - 7.0.27-0+deb9u1
php7.0-readline - 7.0.27-0+deb9u1
php7.0-recode - 7.0.27-0+deb9u1
php7.0-snmp - 7.0.27-0+deb9u1
php7.0-soap - 7.0.27-0+deb9u1
php7.0-sqlite3 - 7.0.27-0+deb9u1
php7.0-sybase - 7.0.27-0+deb9u1
php7.0-tidy - 7.0.27-0+deb9u1
php7.0-xml - 7.0.27-0+deb9u1
php7.0-xmlrpc - 7.0.27-0+deb9u1
php7.0-xsl - 7.0.27-0+deb9u1
php7.0-zip - 7.0.27-0+deb9u1
Ссылки
http://www.debian.org/security/dsa-4080/
Источник: CVE
Наименование: CVE-2017-11145
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11145
Источник: CVE
Наименование: CVE-2017-11144
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11144
Источник: CVE
Наименование: CVE-2017-12934
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12934
Источник: CVE
Наименование: CVE-2017-11628
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11628
Источник: CVE
Наименование: CVE-2017-16642
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-16642
Источник: CVE
Наименование: CVE-2017-12933
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12933
Источник: CVE
Наименование: CVE-2017-12932
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12932
Источник: CVE
Наименование: CVE-2017-11145
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11145
Источник: CVE
Наименование: CVE-2017-11144
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11144
Источник: CVE
Наименование: CVE-2017-12934
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12934
Источник: CVE
Наименование: CVE-2017-11628
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11628
Источник: CVE
Наименование: CVE-2017-16642
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-16642
Источник: CVE
Наименование: CVE-2017-12933
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12933
Источник: CVE
Наименование: CVE-2017-12932
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12932