BDU:2021-02279: Уязвимость компонента WebGL почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость компонента WebGL почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Ubuntu, SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE OpenStack Cloud, SUSE Linux Enterprise Software Development Kit, SUSE Enterprise Storage, РЕД ОС (запись в едином реестре российских программ №3751), HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Module for Desktop Applications, SUSE Manager Proxy, SUSE Manager Retail Branch Server, SUSE Manager Server, Thunderbird, Firefox, Firefox ESR, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 18.04 LTS (Ubuntu)
  • 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 15 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 11 SP4-LTSS (Suse Linux Enterprise Server)
  • 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 10.0 (Debian GNU/Linux)
  • 8 (SUSE OpenStack Cloud)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP5 (SUSE Linux Enterprise Software Development Kit)
  • Crowbar 8 (SUSE OpenStack Cloud)
  • 6 (SUSE Enterprise Storage)
  • 7.2 Муром (РЕД ОС)
  • 8 (HPE Helion Openstack)
  • 12 SP3-ESPOS (Suse Linux Enterprise Server)
  • 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 9 (SUSE OpenStack Cloud)
  • 15-ESPOS (SUSE Linux Enterprise High Performance Computing)
  • 15-LTSS (SUSE Linux Enterprise High Performance Computing)
  • 15-LTSS (Suse Linux Enterprise Server)
  • Crowbar 9 (SUSE OpenStack Cloud)
  • 20.04 LTS (Ubuntu)
  • 20.10 (Ubuntu)
  • 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15 SP2 (SUSE Linux Enterprise Workstation Extension)
  • 15.2 (OpenSUSE Leap)
  • 8.1 Extended Update Support (Red Hat Enterprise Linux)
  • 12 SP4-ESPOS (Suse Linux Enterprise Server)
  • 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 4.0 (SUSE CaaS Platform)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • 12 SP4-LTSS (Suse Linux Enterprise Server)
  • 21.04 (Ubuntu)
  • 15 SP1-BCL (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 15 SP2 (SUSE Linux Enterprise Module for Desktop Applications)
  • 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
  • 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)
  • 15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 4.0 (SUSE Manager Proxy)
  • 4.0 (SUSE Manager Retail Branch Server)
  • 4.0 (SUSE Manager Server)
  • 15 SP3 (SUSE Linux Enterprise Workstation Extension)
  • 12 SP2-LTSS-ERICSSON (Suse Linux Enterprise Server)
  • 12 SP2-LTSS-SAP (Suse Linux Enterprise Server)
  • 12 SP2-LTSS-ERICSSON (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-LTSS-SAP (SUSE Linux Enterprise Server for SAP Applications)
  • до 78.10 (Thunderbird)
  • до 88 (Firefox)
  • до 78.10 (Firefox ESR)
  • 16.04 ESM (Ubuntu)
  • 15 SP3 (SUSE Linux Enterprise Module for Desktop Applications)
  • 1.0 (ОС ОН «Стрелец»)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
  • Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
  • ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Canonical Ltd. Ubuntu 20.10
  • Novell Inc. OpenSUSE Leap 15.2
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-ESPOS
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
  • Canonical Ltd. Ubuntu 21.04
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-ERICSSON
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-SAP
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-ERICSSON
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-SAP
  • Canonical Ltd. Ubuntu 16.04 ESM
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 19.04.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23994

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-23994/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23994

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4926-1

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения