Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05771

Опубликовано: 20 июл. 2021
Источник: fstec
CVSS3: 7.1
CVSS2: 3.6
EPSS Средний

Описание

Уязвимость пакета Archive_Tar библиотеки PHP классов PEAR CMS-системы Drupal связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю оказать влияние на целостность, доступность и конфиденциальность данных

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
Fedora Project
PHP Group
ООО «РусБИТех-Астра»
IBM Corp.
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Ubuntu
Fedora
PEAR Archive_Tar
Drupal
Astra Linux Special Edition
API Connect
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
33 (Fedora)
21.04 (Ubuntu)
34 (Fedora)
16.04 ESM (Ubuntu)
35 (Fedora)
до 1.4.14 (PEAR Archive_Tar)
от 9.2 до 9.2.2 (Drupal)
от 9.1 до 9.1.11 (Drupal)
от 8.9 до 8.9.17 (Drupal)
от 7.0 до 7.82 (Drupal)
1.7 (Astra Linux Special Edition)
от 5.0.0.0 до 5.0.8.12 включительно (API Connect)
от 2018.4.1.0 до 2018.4.1.16 включительно (API Connect)
от 10.0.1.0 до 10.0.1.3 включительно (API Connect)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
Fedora Project Fedora 33
Canonical Ltd. Ubuntu 21.04
Fedora Project Fedora 34
Canonical Ltd. Ubuntu 16.04 ESM
Fedora Project Fedora 35
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Pear Archive_Tar:
https://github.com/pear/Archive_Tar/commit/7789ebb2f34f9e4adb3a4152ad0d1548930a9755
https://github.com/pear/Archive_Tar/commit/b5832439b1f37331fb4f87e67fe4f
https://github.com/pear/Archive_Tar/releases/tag/1.4.14
Для Drupal:
https://www.drupal.org/sa-core-2021-004
Для Debian:
https://lists.debian.org/debian-lts-announce/2021/07/msg00023.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/42GPGVVFTLJYAKRI75IVB5R45NYQGEUR/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CAODVMHGL5MHQWQAQTXQ7G7OE3VQZ7LS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/G5LTY6COQYNMMHQJ3QIOJHEWCKD4XDFH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VJQQYDAOWHD6RDITDRPHFW7WY6BS3V5N/
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5027-1
https://ubuntu.com/security/notices/USN-5027-2
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6483595
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения php-pear до версии 1:1.10.13+submodules+notgz+2022032202-2
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11731
Средний

7.1 High

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-32610

CVSS3: 7.1
ubuntu
почти 4 года назад

In Archive_Tar before 1.4.14, symlinks can refer to targets outside of the extracted archive, a different vulnerability than CVE-2020-36193.

redhat логотип

CVE-2021-32610

CVSS3: 7.4
redhat
почти 4 года назад

In Archive_Tar before 1.4.14, symlinks can refer to targets outside of the extracted archive, a different vulnerability than CVE-2020-36193.

nvd логотип

CVE-2021-32610

CVSS3: 7.1
nvd
почти 4 года назад

In Archive_Tar before 1.4.14, symlinks can refer to targets outside of the extracted archive, a different vulnerability than CVE-2020-36193.

debian логотип

CVE-2021-32610

CVSS3: 7.1
debian
почти 4 года назад

In Archive_Tar before 1.4.14, symlinks can refer to targets outside of ...

suse-cvrf логотип

SUSE-SU-2022:3198-2

suse-cvrf
больше 2 лет назад

Security update for php8-pear

EPSS

Процентиль: 93%
0.11731
Средний

7.1 High

CVSS3

3.6 Low

CVSS2