Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01912

Опубликовано: 06 июл. 2020
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость функции openssl_encrypt() языка программирования php связана со слабым шифрованием. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
Red Hat Inc.
PHP Group
ООО «РусБИТех-Астра»
АО «ИВК»
АО "НППКТ"

Наименование ПО

Ubuntu
Debian GNU/Linux
Red Hat Software Collections
PHP
Astra Linux Special Edition
Альт 8 СП
ОСОН ОСнова Оnyx

Версия ПО

12.04 (Ubuntu)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
от 7.2.0 до 7.2.34 (PHP)
от 7.3.0 до 7.3.23 (PHP)
от 7.4.0 до 7.4.11 (PHP)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 12.04
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Php:
Обновление программного обеспечения до 7.4.16-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета php7.0) до 7.0.33-0+deb9u9 или более поздней версии
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4583-1
https://ubuntu.com/security/notices/USN-4583-2
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-7069
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u1osnovau3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.09212
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-7069

CVSS3: 5.4
ubuntu
больше 4 лет назад

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data.

redhat логотип

CVE-2020-7069

CVSS3: 6.5
redhat
около 5 лет назад

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data.

nvd логотип

CVE-2020-7069

CVSS3: 5.4
nvd
больше 4 лет назад

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data.

debian логотип

CVE-2020-7069

CVSS3: 5.4
debian
больше 4 лет назад

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below ...

github логотип

GHSA-v3rw-94vx-73w6

github
около 3 лет назад

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data.

EPSS

Процентиль: 92%
0.09212
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2