СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
26.01.2021
#Dev#ИБ

Уязвимость BDU:2021-02087

Уязвимость BDU:2021-02087

Идентификатор: BDU:2021-02087.

Наименование уязвимости: Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с ошибкой преобразования типов, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с ошибкой преобразования типов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Debian GNU/Linux 9 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Debian GNU/Linux 10 | Операционная система ООО «Ред Софт» РЕД ОС 7.2 Муром | Операционная система Novell Inc. OpenSUSE Leap 15.2 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support | Прикладное ПО информационных систем Mozilla Corp. Firefox до 85 | Прикладное ПО информационных систем Mozilla Corp. Firefox ESR до 78.7 | Прикладное ПО информационных систем Mozilla Corp. Thunderbird до 78.7 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.1 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Debian GNU/Linux 9 | Red Hat Enterprise Linux 8 | OpenSUSE Leap 151 | Debian GNU/Linux 10 | РЕД ОС 72 Муром | OpenSUSE Leap 152 | Red Hat Enterprise Linux 81 Extended Update Support | Red Hat Enterprise Linux 82 Extended Update Support | Astra Linux Special Edition 17 | Альт 8 СП — | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 26.01.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2021-03/
https://www.mozilla.org/security/advisories/mfsa2021-04/
https://www.mozilla.org/security/advisories/mfsa2021-05/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23954

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LV6TQVT6324Y5SWHTL34EKZT7PFDOYE4/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/PYQVYICIBRGAYRG5HERVZ2YG2FAQSVAR/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23954

Для РЕД ОС:
Установить обновления безопасности для пакетов firefox и thunderbird ( https://redos.red-soft.ru/updatesec )

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2

Для ОС ОН «Стрелец»:
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
— обновить пакет firefox до 93.0+build1-0ubuntu0.18.04.1+ci202110111719+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
— обновить пакет thunderbird до 1:91.1.2+build1-0ubuntu1+ci202110111836+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-23954.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/CVE-2021-23954
https://bugzilla.mozilla.org/show_bug.cgi?id=1684020
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LV6TQVT6324Y5SWHTL34EKZT7PFDOYE4/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/PYQVYICIBRGAYRG5HERVZ2YG2FAQSVAR/
https://redos.red-soft.ru/updatesec/
https://security-tracker.debian.org/tracker/CVE-2021-23954
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://www.mozilla.org/security/advisories/mfsa2021-03/
https://www.mozilla.org/security/advisories/mfsa2021-04/
https://www.mozilla.org/security/advisories/mfsa2021-05/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: