БДУ - Уязвимости

BDU:2020-05624: Уязвимость обработчика PDF-содержимого PDFium веб-браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость обработчика PDF-содержимого PDFium веб-браузера Google Chrome связана с некорректной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор	Canonical Ltd., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Fedora Project, Google Inc., АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО	Ubuntu, Red Hat Enterprise Linux, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Fedora, Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	16.04 LTS (Ubuntu) Desktop 6.0 (Red Hat Enterprise Linux) Server 6.0 (Red Hat Enterprise Linux) Workstation 6.0 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 15.1 (OpenSUSE Leap) 10 (Debian GNU/Linux) 31 (Fedora) 32 (Fedora) 15.2 (OpenSUSE Leap) 33 (Fedora) до 86.0.4240.75 (Google Chrome) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Novell Inc. OpenSUSE Leap 15.1 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 31 Fedora Project Fedora 32 Novell Inc. OpenSUSE Leap 15.2 Fedora Project Fedora 33 АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Неверная инициализация
Идентификатор типа ошибки	CWE-665
Класс уязвимости	Уязвимость кода
Дата выявления	03.11.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2020-11/msg00016.html https://www.suse.com/security/cve/CVE-2020-15989/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-15989 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/24QFL4C3AZKMFVL7LVSYMU2DNE5VVUGS/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4GWCWNHTTYOH6HSFUXPGPBB6J6JYZHZE/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SC3U3H6AISVZB5PLZLLNF4HMQ4UFFL7M/ Для Ubuntu: https://ubuntu.com/security/CVE-2020-15989 Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-15989 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 Для ОСОН Основа: Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2 Для ОС ОН «Стрелец»: Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-15989 https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html https://crbug.com/1108351 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/24QFL4C3AZKMFVL7LVSYMU2DNE5VVUGS/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4GWCWNHTTYOH6HSFUXPGPBB6J6JYZHZE/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SC3U3H6AISVZB5PLZLLNF4HMQ4UFFL7M/ https://lists.opensuse.org/opensuse-security-announce/2020-11/msg00016.html https://nvd.nist.gov/vuln/detail/CVE-2020-15989 https://security-tracker.debian.org/tracker/CVE-2020-15989 https://ubuntu.com/security/CVE-2020-15989 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.suse.com/security/cve/CVE-2020-15989/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-15989
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-05624: Уязвимость обработчика PDF-содержимого PDFium веб-браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации