Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
БДУ АСУ ТП
ФСТЭК России
Главная
Список уязвимостей
BDU:2021-02286
BDU:2021-02286: Уязвимость почтового клиента Thunderbird, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю обойти существующие ограничения безопасности
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость почтового клиента Thunderbird вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Вендор
Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Novell Inc., Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (
запись в едином реестре российских программ №3751
), SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Thunderbird, ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
), ОСОН ОСнова Оnyx (
запись в едином реестре российских программ №5913
)
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
15 SP2 (SUSE Linux Enterprise Workstation Extension)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15 SP3 (SUSE Linux Enterprise Workstation Extension)
до 78.10 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.2 Муром (
запись в едином реестре российских программ №3751
)
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (
запись в едином реестре российских программ №6177
)
Тип ошибки
Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки
CWE-362
Класс уязвимости
Уязвимость кода
Дата выявления
19.04.2021
Базовый вектор уязвимости
CVSS 2.0:
AV:L/AC:H/Au:S/C:C/I:C/A:C
CVSS 3.0:
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/
Для РЕД ОС:
https://redos.red-soft.ru/updatesec/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29948
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-29948/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-29948
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Способ эксплуатации
Манипулирование сроками и состоянием
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://access.redhat.com/security/cve/CVE-2021-29948
https://redos.red-soft.ru/updatesec/
https://security-tracker.debian.org/tracker/CVE-2021-29948
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://www.cybersecurity-help.cz/vdb/SB2021041920
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/
https://www.suse.com/security/cve/CVE-2021-29948/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://bugzilla.mozilla.org/show_bug.cgi?id=1692899
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2021-29948
Прочая информация
Данные уточняются
Последние изменения
13.09.2024
Уязвимость операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольный код
13.09.2024
Уязвимость интерфейса командной строки операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость пакета программ Microsoft Office, связанная с переполнением буфера в динамической памяти, позволяющая нарушителю выполнить произвольный код
13.09.2024
Уязвимость интерпритатора Python операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость командной оболочки Bash операционной системы Cisco NX-OS коммутаторов Cisco Nexus 3000 и Nexus 9000, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость функции Parse языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
13.09.2024
Уязвимость функции Decoder.Decode языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
13.09.2024
Уязвимость средства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с ошибками разграничения доступа, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии до уровня root
13.09.2024
Уязвимость интерфейса REST API платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ на чтение и изменение защищаемой информации
13.09.2024
Уязвимость расширения Adobe Acrobat браузера Microsoft Edge, позволяющая нарушителю выполнить произвольный код