Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-00803: Уязвимость компонента Content Security Policy (CSP) браузера Mozilla Firefox, позволяющая нарушителю обойти существующие ограничения безопасности

Описание уязвимости	Уязвимость компонента Content Security Policy (CSP) браузера Mozilla Firefox связана с ошибками в настройках безопасности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности
Вендор	АО «Концерн ВНИИНС», ООО «Ред Софт», ФССП России, Mozilla Corp., АО «ИВК», АО "НППКТ"
Наименование ПО	ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Firefox, Альт 8 СП, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.0 (ОС ОН «Стрелец») 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 91.6 (Firefox ESR) до 97 (Firefox) - (Альт 8 СП) до 2.4.3 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6
Тип ошибки	Элементы безопасности
Идентификатор типа ошибки	CWE-254
Класс уязвимости	Уязвимость кода
Дата выявления	08.02.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-05/ Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 91.7.0esr+repack-1~deb10u1.osnova1 Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:91.7.0+repack-2~deb10u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://repo.red-soft.ru/goslinux/7/ic6/os/x86_106 https://altsp.su/obnovleniya-bezopasnosti/ https://redos.red-soft.ru/support/secure/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#30032022 https://www.cybersecurity-help.cz/vdb/SB2022020837 https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-05/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-22761
Прочая информация	Данные уточняются

Последние изменения