Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-02977: Уязвимость почтового клиента Mozilla Thunderbird, связанная с некорректной обработкой вводимых пользователем данных при обработке подписанных и зашифрованных вложенных сообщений, позволяющая нарушителю проводить спуфинг-атаки

Описание уязвимости	Уязвимость почтового клиента Mozilla Thunderbird с некорректной обработкой вводимых пользователем данных при обработке подписанных и зашифрованных вложенных сообщений. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить спуфинг-атаки путем отправки специально созданного сообщения электронной почты
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», ФССП России, Mozilla Corp., АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Suse Linux Enterprise Server, openSUSE Tumbleweed, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Thunderbird, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux) 9.0 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 11 SP4-LTSS (Suse Linux Enterprise Server) 10.0 (Debian GNU/Linux) - (openSUSE Tumbleweed) 8.2 Extended Update Support (Red Hat Enterprise Linux) 11.0 (Debian GNU/Linux) 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Extended Update Support (Red Hat Enterprise Linux) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) до 91.9 (Thunderbird) 9 (Red Hat Enterprise Linux) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки	Раскрытие информации в результате расхождений, Ошибки управления ресурсом
Идентификатор типа ошибки	CWE-203 CWE-399
Класс уязвимости	Уязвимость архитектуры
Дата выявления	03.05.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Thunderbird: https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/#CVE-2022-1520 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-1520 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-1520 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2022-1520.html Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения thunderbird до версии 1:91.10.0+repack-1~deb10u1.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://community.qualys.com/vulnerability-detection-pipeline/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/#CVE-2022-1520 https://access.redhat.com/security/cve/CVE-2022-1520 https://security-tracker.debian.org/tracker/CVE-2022-1520 https://www.suse.com/security/cve/CVE-2022-1520.html http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-1520 RHSA: RHSA-2022:1725 MFSA: MFSA 2022-18
Прочая информация	Данные уточняются

Последние изменения