BDU:2022-02988: Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird связана с выходом операции за границы буфера в памяти при обработке содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданной веб-страницы
Вендор Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт», АО «ИВК», Mozilla Corp., АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, OpenSUSE Leap, Suse Linux Enterprise Server, РЕД ОС (запись в едином реестре российских программ №3751), SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Desktop, Альт 8 СП, Thunderbird, Mozilla Firefox, Mozilla Firefox ESR, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 20.04 LTS (Ubuntu)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 21.10 (Ubuntu)
  • 15 SP2 LTSS (Suse Linux Enterprise Server)
  • 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.4 Extended Update Support (Red Hat Enterprise Linux)
  • 7.3 (РЕД ОС)
  • 15.4 (OpenSUSE Leap)
  • 15 SP3 (Suse Linux Enterprise Server)
  • 15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP3 (Suse Linux Enterprise Desktop)
  • 15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • - (Альт 8 СП)
  • 15 SP4 (Suse Linux Enterprise Server)
  • 15 SP4 (Suse Linux Enterprise Desktop)
  • 15 SP2-BCL (Suse Linux Enterprise Server)
  • 15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • до 91.9 (Thunderbird)
  • до 100 (Mozilla Firefox)
  • до 91,9 (Mozilla Firefox ESR)
  • 9 (Red Hat Enterprise Linux)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 20.04 LTS
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
  • Novell Inc. OpenSUSE Leap 15.3
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • Canonical Ltd. Ubuntu 21.10
  • Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • Novell Inc. OpenSUSE Leap 15.4
  • Novell Inc. Suse Linux Enterprise Server 15 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
  • АО «ИВК» Альт 8 СП -
  • Novell Inc. Suse Linux Enterprise Server 15 SP4
  • Novell Inc. Suse Linux Enterprise Desktop 15 SP4
  • Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
  • Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки Выход операции за границы буфера в памяти, Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 03.05.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-29917

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-29917
https://ubuntu.com/security/notices/USN-5411-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-29917

Для программных продуктов Novell Inc.:
https://www.suse.com/es-es/security/cve/CVE-2022-29917.html

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/


Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 91.10.0esr+repack-1~deb10u1.osnova1
Для ОСОН Основа:
Обновление программного обеспечения thunderbird до версии 1:91.10.0+repack-1~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения