БДУ - Уязвимости

BDU:2021-01259: Уязвимость кэша приложения браузера Google Chrome, связанная с ошибками разграничения доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость кэша приложения браузера Google Chrome связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор	Microsoft Corp., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Google Inc., АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО	Microsoft Edge, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Google Chrome, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	- (Microsoft Edge) 9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 10 (Debian GNU/Linux) до 89.0.4389.72 (Google Chrome) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Прикладное ПО информационных систем, Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки	CWE-264
Класс уязвимости	Уязвимость кода
Дата выявления	24.11.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Chromium: https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html Для Debian: https://security-tracker.debian.org/tracker/CVE-2021-21168 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОСОН Основа: Обновление программного обеспечения chromium до версии 90.0.4430.212+repack-1~deb10u1.osnova2 Для ОС ОН «Стрелец»: Обновление программного обеспечения chromium до версии 105.0.5195.125+repack2-1~deb11u1.osnova1.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html https://crbug.com/1152226 https://nvd.nist.gov/vuln/detail/CVE-2021-21168 https://security-tracker.debian.org/tracker/CVE-2021-21168 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-21168
Прочая информация	Данные уточняются

Последние изменения

08.12.2023 Уязвимость веб-интерфейса системы управления базами данных H2, позволяющая нарушителю повысить свои привилегии
08.12.2023 Уязвимость платформы анализа данных Hazelcast, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные действия
08.12.2023 Уязвимость модуля mod_webdav.so микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX92U, позволяющая нарушителю получить доступ к защищаемой информации
08.12.2023 Уязвимость функции wanStat_detail микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции Traffic Analyzer - Statistic микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023 Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (irissetup.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость интерфейса VAPIX API (dynamicoverlay.cgi) операционной системы AXIS OS, позволяющая нарушителю вызвать отказ в обслуживании
08.12.2023 Уязвимость интерфейса VAPIX API (overlay_del.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023 Уязвимость файла «search.cgi» программного средства для проверки номерных знаков License Plate Verifier, позволяющая нарушителю выполнять произвольные SQL-запросы

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»