CVE-2020-7069

Опубликовано: 15 мая 2020

Источник: redhat

CVSS3: 6.5

EPSS Низкий

Описание

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	php	Not affected
Red Hat Enterprise Linux 5	php53	Not affected
Red Hat Enterprise Linux 6	php	Not affected
Red Hat Enterprise Linux 7	php	Not affected
Red Hat Enterprise Linux 8	php:7.2/php	Will not fix
Red Hat Enterprise Linux 8	php:7.3/php	Will not fix
Red Hat Software Collections	rh-php72-php	Out of support scope
Red Hat Enterprise Linux 8	php	Fixed	RHSA-2021:4213	09.11.2021
Red Hat Software Collections for Red Hat Enterprise Linux 7	rh-php73-php	Fixed	RHSA-2021:2992	03.08.2021
Red Hat Software Collections for Red Hat Enterprise Linux 7.7 EUS	rh-php73-php	Fixed	RHSA-2021:2992	03.08.2021

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-20

https://bugzilla.redhat.com/show_bug.cgi?id=1885735php: Wrong ciphertext/tag in AES-CCM encryption for a 12 bytes IV

EPSS

Процентиль: 92%

0.09212

Низкий

6.5 Medium

CVSS3

Связанные уязвимости

CVE-2020-7069

CVSS3: 5.4

ubuntu

больше 4 лет назад

CVE-2020-7069

CVSS3: 5.4

nvd

больше 4 лет назад

CVE-2020-7069

CVSS3: 5.4

debian

больше 4 лет назад

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below ...

GHSA-v3rw-94vx-73w6

github

около 3 лет назад

BDU:2021-01912

CVSS3: 6.5

fstec

почти 5 лет назад

Уязвимость функции openssl_encrypt() языка программирования php, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

EPSS

Процентиль: 92%

0.09212

Низкий

6.5 Medium

CVSS3