Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02548

Опубликовано: 24 янв. 2017
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость функции object_common1 интерпретатора языка программирования PHP связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных сериализованных данных, которые неправильно обрабатываются при вызове finish_nested_data

Вендор

PHP Group
Canonical Ltd.
Сообщество свободного программного обеспечения

Наименование ПО

PHP
Ubuntu
Debian GNU/Linux

Версия ПО

7.0.0 (PHP)
7.0.1 (PHP)
16.10 (Ubuntu)
7.0.7 (PHP)
12.04 (Ubuntu)
9 (Debian GNU/Linux)
14.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
7 (Debian GNU/Linux)
16.04 ESM (Ubuntu)
7.0.4 (PHP)
7.0.5 (PHP)
7.0.8 (PHP)
7.0.9 (PHP)
7.0.6 (PHP)
7.0.2 (PHP)
7.0.3 (PHP)
7.0.10 (PHP)
7.0.11 (PHP)
7.0.12 (PHP)
7.0.13 (PHP)
до 5.6.29 включительно (PHP)
7.0.14 (PHP)
7.1.0 (PHP)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.10
Canonical Ltd. Ubuntu 12.04
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 7
Canonical Ltd. Ubuntu 16.04 ESM

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/php/php-src/commit/16b3003ffc6393e250f069aa28a78dc5a2c064b2
http://php.net/ChangeLog-7.php
http://php.net/ChangeLog-5.php
Для Ubuntu:
https://ubuntu.com/security/CVE-2016-10161
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2016-10161

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.24961
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-10161

CVSS3: 7.5
ubuntu
больше 8 лет назад

The object_common1 function in ext/standard/var_unserializer.c in PHP before 5.6.30, 7.0.x before 7.0.15, and 7.1.x before 7.1.1 allows remote attackers to cause a denial of service (buffer over-read and application crash) via crafted serialized data that is mishandled in a finish_nested_data call.

redhat логотип

CVE-2016-10161

CVSS3: 5.3
redhat
больше 8 лет назад

The object_common1 function in ext/standard/var_unserializer.c in PHP before 5.6.30, 7.0.x before 7.0.15, and 7.1.x before 7.1.1 allows remote attackers to cause a denial of service (buffer over-read and application crash) via crafted serialized data that is mishandled in a finish_nested_data call.

nvd логотип

CVE-2016-10161

CVSS3: 7.5
nvd
больше 8 лет назад

The object_common1 function in ext/standard/var_unserializer.c in PHP before 5.6.30, 7.0.x before 7.0.15, and 7.1.x before 7.1.1 allows remote attackers to cause a denial of service (buffer over-read and application crash) via crafted serialized data that is mishandled in a finish_nested_data call.

debian логотип

CVE-2016-10161

CVSS3: 7.5
debian
больше 8 лет назад

The object_common1 function in ext/standard/var_unserializer.c in PHP ...

github логотип

GHSA-q9xq-6ph4-999c

CVSS3: 7.5
github
около 3 лет назад

The object_common1 function in ext/standard/var_unserializer.c in PHP before 5.6.30, 7.0.x before 7.0.15, and 7.1.x before 7.1.1 allows remote attackers to cause a denial of service (buffer over-read and application crash) via crafted serialized data that is mishandled in a finish_nested_data call.

EPSS

Процентиль: 96%
0.24961
Средний

7.5 High

CVSS3

7.8 High

CVSS2