Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-04071: Уязвимость браузера Mozilla Firefox, позволяющая нарушителю выполнить произвольный код в целевой системе

Описание уязвимости	Уязвимость браузера Mozilla Firefox связана с ошибкой границы в объекте холста. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе, а также вызвать повреждение памяти
Вендор	Сообщество свободного программного обеспечения, АО «ИВК», ООО «Ред Софт», Mozilla Corp., АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Альт 8 СП Рабочая станция, РЕД ОС (запись в едином реестре российских программ №3751), Thunderbird, Альт 8 СП (запись в едином реестре российских программ №4305), Firefox, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) - (Альт 8 СП Рабочая станция) 10 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) от 60.0 до 78.13 (Thunderbird) 11 (Debian GNU/Linux) - (Альт 8 СП) до 91.0 (Firefox) до 78.13 (Firefox) до 2.1 (ОСОН ОСнова Оnyx) до 2.4.2 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 АО «ИВК» Альт 8 СП Рабочая станция - Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) Сообщество свободного программного обеспечения Debian GNU/Linux 11 АО «ИВК» Альт 8 СП - (запись в едином реестре российских программ №4305) АО "НППКТ" ОСОН ОСнова Оnyx до 2.4.2 (запись в едином реестре российских программ №5913) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	10.08.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций производителя: Для РедОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для Альт 8 СП: https://packages.altlinux.org/ru/sisyphus/srpms/thunderbird/changelog/ https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/ Для Firefox: использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2021-33 Для Firefox ESR: использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2021-34 Для Thunderbird: использование рекомендаций производителя: https://www.mozilla.org/en-US/security/advisories/mfsa2021-35 Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-29980 Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:78.13.0+repack-1~deb10u1.osnova1 Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2 Обновление программного обеспечения thunderbird до версии 1:91.5.0+repack-2~deb10u1.osnova1 Для ОС ОН «Стрелец»: Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/updatesec/ https://www.cybersecurity-help.cz/vdb/SB2021081008 https://www.securitylab.ru/vulnerability/523228.php https://packages.altlinux.org/ru/sisyphus/srpms/thunderbird/changelog/ https://packages.altlinux.org/ru/sisyphus/srpms/firefox-esr/changelog/ https://nvd.nist.gov/vuln/detail/CVE-2021-29980 https://security-tracker.debian.org/tracker/CVE-2021-29980 https://www.mozilla.org/en-US/security/advisories/mfsa2021-33 https://www.mozilla.org/en-US/security/advisories/mfsa2021-34 https://www.mozilla.org/en-US/security/advisories/mfsa2021-35 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-29980
Прочая информация	Данные уточняются

Последние изменения