Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00803: Уязвимость компонента Content Security Policy (CSP) браузера Mozilla Firefox, позволяющая нарушителю обойти существующие ограничения безопасности

Описание уязвимости	Уязвимость компонента Content Security Policy (CSP) браузера Mozilla Firefox связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Вендор	АО «Концерн ВНИИНС», ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК»
Наименование ПО	ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Firefox, Альт 8 СП
Версия ПО	1.0 (ОС ОН «Стрелец») 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 91.6 (Firefox ESR) до 97 (Firefox) - (Альт 8 СП)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6
Тип ошибки	Элементы безопасности
Идентификатор типа ошибки	CWE-254
Класс уязвимости	Уязвимость кода
Дата выявления	08.02.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-05/ Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106 https://altsp.su/obnovleniya-bezopasnosti/ https://redos.red-soft.ru/support/secure/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 https://www.cybersecurity-help.cz/vdb/SB2022020837 https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-05/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-22761
Прочая информация	Данные уточняются

Последние изменения