Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2020-00723
BDU:2020-00723: Уязвимость веб-браузеров Firefox, Firefox ESR и программы для работы с электронной почтой Thunderbird, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость веб-браузеров Firefox, Firefox ESR и программы для работы с электронной почтой Thunderbird связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным через специально созданный HTML-файл
Вендор
Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Oracle Corp., Novell Inc., Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (
запись в едином реестре российских программ №369
), Debian GNU/Linux, Oracle Linux, OpenSUSE Leap, Firefox, SUSE Package Hub for SUSE Linux Enterprise, Thunderbird, Firefox ESR, ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
)
Версия ПО
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
9.0 (Debian GNU/Linux)
19.04 (Ubuntu)
7 (Oracle Linux)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
до 68.0 (Firefox)
12 (SUSE Package Hub for SUSE Linux Enterprise)
до 60.8 (Thunderbird)
до 60.8 (Firefox ESR)
8 (poppler) (Oracle Linux)
6 (Oracle Linux)
1.0 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (
запись в едином реестре российских программ №369
)
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
Canonical Ltd. Ubuntu 19.04
Oracle Corp. Oracle Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Mozilla Corp. Firefox до 68.0
Novell Inc. SUSE Package Hub for SUSE Linux Enterprise 12
Mozilla Corp. Thunderbird до 60.8
Mozilla Corp. Firefox ESR до 60.8
Oracle Corp. Oracle Linux 8 (poppler)
Oracle Corp. Oracle Linux 6
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (
запись в едином реестре российских программ №6177
)
Тип ошибки
Раскрытие информации
Идентификатор типа ошибки
CWE-200
Класс уязвимости
Уязвимость кода
Дата выявления
09.07.2019
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 3.0:
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Mozilla:
https://www.mozilla.org/security/advisories/mfsa2019-21/
https://www.mozilla.org/security/advisories/mfsa2019-22/
https://www.mozilla.org/security/advisories/mfsa2019-23/
Для Debian:
Обновление программного обеспечения (пакета firefox) до 68.0-1 или более поздней версии
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Для программных продуктов Novell Inc.
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Для Oracle:
https://linux.oracle.com/cve/CVE-2019-11730.html
Для SUSE:
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-11730.html
https://usn.ubuntu.com/4054-1/
https://usn.ubuntu.com/4064-1/
Для Red Hat:
https://access.redhat.com/security/cve/cve-2019-11730
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Несанкционированный сбор информации
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://nvd.nist.gov/vuln/detail/CVE-2019-11730
https://security-tracker.debian.org/tracker/CVE-2019-11730
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
https://access.redhat.com/security/cve/cve-2019-11730
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-11730.html
https://usn.ubuntu.com/4054-1/
https://usn.ubuntu.com/4064-1/
https://bugzilla.redhat.com/show_bug.cgi?id=1728438
https://linux.oracle.com/cve/CVE-2019-11730.html
https://www.mozilla.org/security/advisories/mfsa2019-21/
https://www.mozilla.org/security/advisories/mfsa2019-22/
https://www.mozilla.org/security/advisories/mfsa2019-23/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2019-11730
Прочая информация
Данные уточняются
Последние изменения
27.01.2023
Уязвимость компонента InnoDB системы управления базами данных MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании
27.01.2023
Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании
27.01.2023
Уязвимость компонента Security программного средства для создания отчетов Oracle BI Publisher программной платформы Oracle Fusion Middleware, позволяющая нарушителю выполнить произвольный код
27.01.2023
Уязвимость компонента Security программного средства для создания отчетов Oracle BI Publisher программной платформы Oracle Fusion Middleware, позволяющая нарушителю выполнить произвольный код
27.01.2023
Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
27.01.2023
Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю вызвать отказ в обслуживании
27.01.2023
Уязвимость компонента Visual Analyzer программной платформы Oracle Business Intelligence Enterprise Edition, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных
27.01.2023
Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
27.01.2023
Уязвимость компонента Core сервера приложений Oracle Communications Converged Application Server, позволяющая нарушителю получить полный контроль над приложением
27.01.2023
Уязвимость подкомпонента Auomated Test Suite компонента Oracle HCM Common Architecture системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю манипулировать данными