Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Документы
Регламент включения уязвимостей
Все документы
Термины
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2021-02088
BDU:2021-02088: Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux, Debian GNU/Linux, OpenSUSE Leap, РЕД ОС (
запись в едином реестре российских программ №3751
), Firefox, Firefox ESR, Thunderbird, ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
)
Версия ПО
7 (Red Hat Enterprise Linux)
9.0 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
10.0 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
до 85.0 (Firefox)
до 78.7 (Firefox ESR)
до 78.7 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
ООО «Ред Софт» РЕД ОС 7.2 Муром (
запись в едином реестре российских программ №3751
)
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Тип ошибки
Выход операции за границы буфера в памяти
Идентификатор типа ошибки
CWE-119
Класс уязвимости
Уязвимость кода
Дата выявления
26.01.2021
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 3.0:
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2021-03/
https://www.mozilla.org/security/advisories/mfsa2021-04/
https://www.mozilla.org/security/advisories/mfsa2021-05/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23964
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LV6TQVT6324Y5SWHTL34EKZT7PFDOYE4/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/PYQVYICIBRGAYRG5HERVZ2YG2FAQSVAR/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23964
Для РЕД ОС:
Установить обновления безопасности для пакетов firefox и thunderbird (
https://redos.red-soft.ru/updatesec
)
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://access.redhat.com/security/cve/CVE-2021-23964
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LV6TQVT6324Y5SWHTL34EKZT7PFDOYE4/
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/PYQVYICIBRGAYRG5HERVZ2YG2FAQSVAR/
https://redos.red-soft.ru/updatesec/
https://security-tracker.debian.org/tracker/CVE-2021-23964
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://www.mozilla.org/security/advisories/mfsa2021-03/
https://www.mozilla.org/security/advisories/mfsa2021-04/
https://www.mozilla.org/security/advisories/mfsa2021-05/
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2021-23964
Прочая информация
Данные уточняются
Последние изменения
24.06.2022
Уязвимость функции проверки образов Cisco Adaptive Security Device Manager (ASDM) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance Software (ASA), позволяющая нарушителю выполнить произвольный код
24.06.2022
Уязвимость компонента Base браузеров Google Chrome и Microsoft, позволяющая нарушителю выполнить произвольный код
24.06.2022
Уязвимость в примерах проверки подлинности с помощью форм в примерах веб-приложений сервера приложений Apache Tomcat, позволяющая нарушителю провести атаку межсайтового скриптинга
24.06.2022
Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt, позволяющая нарушителю выполнять произвольные команды
24.06.2022
Уязвимость SCP-сервера программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю получить доступ к файлам журнала
24.06.2022
Уязвимость компонента asyncjobscheduler-manager.log программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю повысить свои привилегии
24.06.2022
Уязвимость компонента TLS/SSL Server программного обеспечение для управления сетью SAN Brocade SANnav, позволяющая нарушителю повысить свои привилегии
24.06.2022
Уязвимость функции streamGetEdgeID системы управления базами данных (СУБД) Redis, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность данных
24.06.2022
Уязвимость микропрограммного обеспечения BIOS ноутбуков Dell, связанная с недостаточной проверкой входных данных, позволяющая нарушителю выполнить произвольный код
24.06.2022
Уязвимость микропрограммного обеспечения BIOS ноутбуков Dell, связанная с недостаточной проверкой входных данных, позволяющая нарушителю выполнить произвольный код