Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02280: Уязвимость режима адаптивного дизайна (Responsive Design Mode) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость режима адаптивного дизайна (Responsive Design Mode) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., Novell Inc., ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, SUSE OpenStack Cloud, SUSE Linux Enterprise Software Development Kit, SUSE Enterprise Storage, РЕД ОС (запись в едином реестре российских программ №3751), HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Module for Desktop Applications, SUSE Manager Proxy, SUSE Manager Retail Branch Server, SUSE Manager Server, Thunderbird, Firefox, Firefox ESR, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 8 (Red Hat Enterprise Linux) 12 SP2-BCL (Suse Linux Enterprise Server) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4-LTSS (Suse Linux Enterprise Server) 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications) 12 SP3-LTSS (Suse Linux Enterprise Server) 8 (SUSE OpenStack Cloud) 12 SP3-BCL (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications) 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 12 SP5 (SUSE Linux Enterprise Software Development Kit) Crowbar 8 (SUSE OpenStack Cloud) 10 (Debian GNU/Linux) 6 (SUSE Enterprise Storage) 7.2 Муром (РЕД ОС) 8 (HPE Helion Openstack) 12 SP3-ESPOS (Suse Linux Enterprise Server) 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications) 9 (SUSE OpenStack Cloud) 15-ESPOS (SUSE Linux Enterprise High Performance Computing) 15-LTSS (SUSE Linux Enterprise High Performance Computing) 15-LTSS (Suse Linux Enterprise Server) Crowbar 9 (SUSE OpenStack Cloud) 20.04 LTS (Ubuntu) 20.10 (Ubuntu) 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools) 15 SP2 (SUSE Linux Enterprise Workstation Extension) 15.2 (OpenSUSE Leap) 8.1 Extended Update Support (Red Hat Enterprise Linux) 12 SP4-ESPOS (Suse Linux Enterprise Server) 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications) 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications) 4.0 (SUSE CaaS Platform) 8.2 Extended Update Support (Red Hat Enterprise Linux) 12 SP4-LTSS (Suse Linux Enterprise Server) 21.04 (Ubuntu) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 15 SP2 (SUSE Linux Enterprise Module for Desktop Applications) 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing) 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing) 15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools) 4.0 (SUSE Manager Proxy) 4.0 (SUSE Manager Retail Branch Server) 4.0 (SUSE Manager Server) 15 SP3 (SUSE Linux Enterprise Workstation Extension) 12 SP2-LTSS-ERICSSON (Suse Linux Enterprise Server) 12 SP2-LTSS-SAP (Suse Linux Enterprise Server) 12 SP2-LTSS-ERICSSON (SUSE Linux Enterprise Server for SAP Applications) 12 SP2-LTSS-SAP (SUSE Linux Enterprise Server for SAP Applications) до 78.10 (Thunderbird) до 88 (Firefox) до 78.10 (Firefox ESR) 16.04 ESM (Ubuntu) 15 SP3 (SUSE Linux Enterprise Module for Desktop Applications) 1.0 (ОС ОН «Стрелец») до 2.1 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Novell Inc. Suse Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS Novell Inc. Suse Linux Enterprise Server 15-LTSS Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 20.10 Novell Inc. OpenSUSE Leap 15.2 Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-ESPOS Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Canonical Ltd. Ubuntu 21.04 Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-ERICSSON Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-SAP Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-ERICSSON Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-SAP Canonical Ltd. Ubuntu 16.04 ESM АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	19.04.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/ Для РЕД ОС: https://redos.red-soft.ru/updatesec/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-23995 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-23995/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-23995 Для Ubuntu: https://ubuntu.com/security/notices/USN-4926-1 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2 Для ОС ОН «Стрелец»: Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/CVE-2021-23995 https://redos.red-soft.ru/updatesec/ https://security-tracker.debian.org/tracker/CVE-2021-23995 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/notices/USN-4926-1 https://www.cybersecurity-help.cz/vdb/SB2021042934 https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/ https://www.suse.com/security/cve/CVE-2021-23995/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-23995
Прочая информация	Данные уточняются

Последние изменения