БДУ - Уязвимости

BDU:2019-03613: Уязвимость метода Array.pop почтового клиента Thunderbird и браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость метода Array.pop почтового клиента Thunderbird и браузеров Firefox и Firefox ESR связана с отсутствием проверки типа передаваемого объекта (“type confusion”). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО	Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Thunderbird, Firefox ESR, Firefox, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 18.10 (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 19.04 (Ubuntu) до 60.7.2 (Thunderbird) до 60.7.1 (Firefox ESR) до 67.0.3 (Firefox) 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS Canonical Ltd. Ubuntu 18.10 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 19.04 АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
Тип ошибки	Неправильное преобразование типов
Идентификатор типа ошибки	CWE-704
Класс уязвимости	Уязвимость кода
Дата выявления	23.07.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Для программных продуктов Mozilla Corp.: https://bugzilla.mozilla.org/show_bug.cgi?id=1544386 Для Debian: Обновление программного обеспечения(пакета thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии Для Ubuntu: https://usn.ubuntu.com/4020-1/ Для Astra Linux: Обновление программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии,(пакета Firefox) до 68.0.1-2 или более поздней версии,(пакета Firefox ESR) до 60.8.0esr-1~deb9u1 или более поздней версии Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-11707 https://security-tracker.debian.org/tracker/CVE-2019-11707 https://bugzilla.mozilla.org/show_bug.cgi?id=1544386 https://usn.ubuntu.com/4020-1/ https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-11707
Прочая информация	Данные уточняются

Последние изменения

02.12.2022 Уязвимость функции webGetVarString() микропрограммного обеспечения беспроводных маршрутизаторов D-Link DIR-882, позволяющая нарушителю выполнить произвольный код
02.12.2022 Уязвимость микропрограммного обеспечения беспроводных маршрутизаторов D-Link DIR-878, связанная с ошибками переполнения буфера, позволяющая нарушителю выполнить произвольный код
02.12.2022 Уязвимость httpd-демона встроенного программного обеспечения маршрутизатора NETGEAR R7000P, позволяющая нарушителю выполнить произвольный код
02.12.2022 Уязвимость функции websRedirect() микропрограммного обеспечения беспроводных маршрутизаторов D-Link DIR-882, позволяющая нарушителю выполнить произвольный код
02.12.2022 Уязвимость микропрограммного обеспечения беспроводных маршрутизаторов D-Link DIR-882, связанная с ошибками переполнения буфера, позволяющая нарушителю вызвать отказ в обслуживании
02.12.2022 Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
02.12.2022 Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю осуществлять межсайтовые сценарные атаки
02.12.2022 Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю выполнить произвольные команды
02.12.2022 Уязвимость реализации протокола SSH микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю вызвать отказ в обслуживании
02.12.2022 Уязвимость веб-интерфейса управления программного обеспечения администрирования сети Cisco Firepower Management Center (FMC), позволяющая нарушителю осуществлять межсайтовые сценарные атаки

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-03613: Уязвимость метода Array.pop почтового клиента Thunderbird и браузеров Firefox и Firefox ESR, позволяющая нарушителю вызвать отказ в обслуживании