BDU:2022-00298: Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с неправильной проверкой ввода пустой последовательности pkcs7, передаваемой как часть данных сертификата, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании» (DoS)

Описание уязвимости Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неправильной проверкой ввода пустой последовательности pkcs7, передаваемой как часть данных сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданный сертификат и выполнить атаку типа «отказ в обслуживании» (DoS)
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Mozilla Corp., АО «ИВК», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Firefox, Firefox ESR, Thunderbird, Альт 8 СП, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • 11.0 (Debian GNU/Linux)
  • 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.4 Extended Update Support (Red Hat Enterprise Linux)
  • 7.3 (РЕД ОС)
  • до 96 (Firefox)
  • до 91.5 (Firefox ESR)
  • до 91.5 (Thunderbird)
  • - (Альт 8 СП)
  • до 2.4.2 (ОСОН ОСнова Оnyx)
  • до 2.4.3 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 11.01.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-03/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-22747

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-22747

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 91.5.0esr+repack-1~deb10u1.osnova1

Для ОСОН Основа:
Обновление программного обеспечения thunderbird до версии 1:91.5.0+repack-2~deb10u1.osnova1

Для ОСОН Основа:
Обновление программного обеспечения nss до версии 2:3.61+repack-1+deb11u2.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения