Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02078: Уязвимость почтового клиента Thunderbird, связанная с недостаточной проверкой вводимых данных на этапе настройки соединения IMAP STARTTLS, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Описание уязвимости	Уязвимость почтового клиента Thunderbird связана с недостаточной проверкой вводимых данных на этапе настройки соединения IMAP STARTTLS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», Canonical Ltd., Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), Ubuntu, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	7 (Red Hat Enterprise Linux) 9.0 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 15 SP1 (SUSE Linux Enterprise Workstation Extension) 15.1 (OpenSUSE Leap) 10.0 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) 20.10 (Ubuntu) 15 SP2 (SUSE Linux Enterprise Workstation Extension) 15.2 (OpenSUSE Leap) 8.1 Extended Update Support (Red Hat Enterprise Linux) 8.2 Extended Update Support (Red Hat Enterprise Linux) до 78.7 (Thunderbird) 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Canonical Ltd. Ubuntu 20.10 Novell Inc. OpenSUSE Leap 15.2 Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
Тип ошибки	Неверное управление генерацией кода (Внедрение кода)
Идентификатор типа ошибки	CWE-94
Класс уязвимости	Уязвимость кода
Дата выявления	26.01.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2021-05/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-15685 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-15685/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-15685 Для Ubuntu: https://ubuntu.com/security/notices/USN-4736-1 Для РЕД ОС: Установить обновления безопасности для пакетов firefox и thunderbird ( https://redos.red-soft.ru/updatesec ) Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-15685 https://redos.red-soft.ru/updatesec https://security-tracker.debian.org/tracker/CVE-2020-15685 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/notices/USN-4736-1 https://www.cybersecurity-help.cz/vdb/SB2021012731 https://www.mozilla.org/en-US/security/advisories/mfsa2021-05/ https://www.suse.com/security/cve/CVE-2020-15685/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-15685
Прочая информация	Данные уточняются

Последние изменения