Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02286: Уязвимость почтового клиента Thunderbird, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю обойти существующие ограничения безопасности

Основная информация
Подробнее

Описание уязвимости

Уязвимость почтового клиента Thunderbird вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Вендор

Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Novell Inc., Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

7 (Red Hat Enterprise Linux)
9.0 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10.0 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
15 SP2 (SUSE Linux Enterprise Workstation Extension)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15 SP3 (SUSE Linux Enterprise Workstation Extension)
до 78.10 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751)
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support

Тип ошибки

Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)

Идентификатор типа ошибки

CWE-362

Класс уязвимости

Уязвимость кода

Дата выявления

19.04.2021

Базовый вектор уязвимости

CVSS 2.0: AV:L/AC:H/Au:S/C:C/I:C/A:C

CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-29948

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-29948/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-29948

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование сроками и состоянием

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://access.redhat.com/security/cve/CVE-2021-29948
https://redos.red-soft.ru/updatesec/
https://security-tracker.debian.org/tracker/CVE-2021-29948
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://www.cybersecurity-help.cz/vdb/SB2021041920
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/
https://www.suse.com/security/cve/CVE-2021-29948/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2021-29948

Прочая информация

Данные уточняются

Последние изменения