Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01785: Уязвимость почтового клиента Thunderbird, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость почтового клиента Thunderbird связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., Canonical Ltd., Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, SUSE Linux Enterprise Workstation Extension, Ubuntu, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 15 SP1 (SUSE Linux Enterprise Workstation Extension) 10 (Debian GNU/Linux) 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux) 20.10 (Ubuntu) 8.1 Extended Update Support (Red Hat Enterprise Linux) 8.2 Extended Update Support (Red Hat Enterprise Linux) до 78.5.1 (Thunderbird) 1.0 (ОС ОН «Стрелец») до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions Canonical Ltd. Ubuntu 20.10 Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	08.12.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-26970 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-26970/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-26970 Для Ubuntu: https://ubuntu.com/security/notices/USN-4701-1 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-26970 https://security-tracker.debian.org/tracker/CVE-2020-26970 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/notices/USN-4701-1 https://www.mozilla.org/en-US/security/advisories/mfsa2020-53/ https://www.suse.com/security/cve/CVE-2020-26970/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-26970
Прочая информация	Данные уточняются

Последние изменения