Описание
Множественные уязвимости PHP
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета PHP илиУстановить обновление для пакета(ов) PHP: # dnf install php81-release # dnf clean all # dnf makecache # dnf update php*
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
26.08.2022
CVE-2021-21708
Идентификатор БДУ ФСТЭК России:
BDU:2022-05350Описание уязвимости:
Уязвимость в функции php_filter_float() интерпретатора языка программирования PHP связана с ошибкой использования памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать специально созданные входные данные приложению, использующему затронутую функцию PHP, вызвать ошибку использования после освобождения и привести к сбою процесса php-fpm
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2021-21708
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость в функции php_filter_float() интерпретатора языка программирования PHP связана с ошибкой использования памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать специально созданные входные данные приложению, использующему затронутую функцию PHP, вызвать ошибку использования после освобождения и привести к сбою процесса php-fpm
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-31625
Идентификатор БДУ ФСТЭК России:
BDU:2022-05351Описание уязвимости:
Уязвимость в функции pg_query_params() интерпретатора языка программирования PHP связана с ошибкой использования неинициализированного массива в функции pg_query_params(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать повреждение памяти и выполнить произвольный код в системе
8.1 High
CVSS3
7.6 High
CVSS2
CVE-2021-21702
Идентификатор БДУ ФСТЭК России:
BDU:2021-03159Описание уязвимости:
Уязвимость расширения SOAP интерпретатора PHP связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать аварийное завершение работы приложения
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2021-21705
Идентификатор БДУ ФСТЭК России:
BDU:2021-03703Описание уязвимости:
Уязвимость функции php_url_parse_ex() интерпретатора языка программирования PHP связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2021-21704
Идентификатор БДУ ФСТЭК России:
BDU:2021-03559Описание уязвимости:
Уязвимость модуля pdo_firebase интерпретатора языка программирования PHP связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
5.9 Medium
CVSS3
5.4 Medium
CVSS2
CVE-2021-21703
Идентификатор БДУ ФСТЭК России:
BDU:2021-05228Описание уязвимости:
Уязвимость компонента SAPI расширения PHP-FPM интерпретатора языка программирования PHP связана с ошибками разграничения доступа при совместном выполнении процесса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до root
7.8 High
CVSS3
6.8 Medium
CVSS2
CVE-2022-31627
Идентификатор БДУ ФСТЭК России:
BDU:2022-04762Описание уязвимости:
Уязвимость реализации функции finfo_buffer() интерпретатора языка программирования PHP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2022-31626
Идентификатор БДУ ФСТЭК России:
BDU:2022-03725Описание уязвимости:
Уязвимость функции mysqlnd/pdo (mysqlnd_wireprotocol.c) интерпретатора языка программирования PHP связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
7.5 High
CVSS3
10 Critical
CVSS2