Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
БДУ АСУ ТП
ФСТЭК России
Главная
Список уязвимостей
BDU:2022-02988
BDU:2022-02988: Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird связана с выходом операции за границы буфера в памяти при обработке содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданной веб-страницы
Вендор
Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., Novell Inc., ООО «Ред Софт», АО «ИВК», Mozilla Corp., АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, OpenSUSE Leap, Suse Linux Enterprise Server, РЕД ОС (
запись в едином реестре российских программ №3751
), SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Desktop, Альт 8 СП (
запись в едином реестре российских программ №4305
), Thunderbird, Mozilla Firefox, Mozilla Firefox ESR, ОСОН ОСнова Оnyx (
запись в едином реестре российских программ №5913
), ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
)
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
8.2 Extended Update Support (Red Hat Enterprise Linux)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
15 SP2 LTSS (Suse Linux Enterprise Server)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Extended Update Support (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
до 91.9 (Thunderbird)
до 100 (Mozilla Firefox)
до 91,9 (Mozilla Firefox ESR)
9 (Red Hat Enterprise Linux)
до 2.5 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10
Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «Ред Софт» РЕД ОС 7.3 (
запись в едином реестре российских программ №3751
)
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП - (
запись в едином реестре российских программ №4305
)
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Red Hat Inc. Red Hat Enterprise Linux 9
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (
запись в едином реестре российских программ №6177
)
Тип ошибки
Выход операции за границы буфера в памяти, Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки
CWE-119
CWE-120
Класс уязвимости
Уязвимость кода
Дата выявления
03.05.2022
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 3.0:
AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-29917
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-29917
https://ubuntu.com/security/notices/USN-5411-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-29917
Для программных продуктов Novell Inc.:
https://www.suse.com/es-es/security/cve/CVE-2022-29917.html
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/
Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 91.10.0esr+repack-1~deb10u1.osnova1
Для ОСОН Основа:
Обновление программного обеспечения thunderbird до версии 1:91.10.0+repack-1~deb10u1.osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://www.cybersecurity-help.cz/vdb/SB2022050701
https://access.redhat.com/security/cve/cve-2022-29917
https://ubuntu.com/security/CVE-2022-29917
https://ubuntu.com/security/notices/USN-5411-1
https://security-tracker.debian.org/tracker/CVE-2022-29917
https://www.suse.com/es-es/security/cve/CVE-2022-29917.html
https://www.mozilla.org/en-US/security/advisories/mfsa2022-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/
https://redos.red-soft.ru/support/secure/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://bugzilla.mozilla.org/buglist.cgi?bug_id=1684739%2C1706441%2C1753298%2C1762614%2C1762620%2C1764778
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2022-29917
MFSA:
MFSA 2022-18
MFSA:
MFSA 2022-17
MFSA:
MFSA 2022-16
SB:
SB2022050701
Прочая информация
Данные уточняются
Последние изменения
13.09.2024
Уязвимость операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольный код
13.09.2024
Уязвимость интерфейса командной строки операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость пакета программ Microsoft Office, связанная с переполнением буфера в динамической памяти, позволяющая нарушителю выполнить произвольный код
13.09.2024
Уязвимость интерпритатора Python операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость командной оболочки Bash операционной системы Cisco NX-OS коммутаторов Cisco Nexus 3000 и Nexus 9000, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость функции Parse языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
13.09.2024
Уязвимость функции Decoder.Decode языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
13.09.2024
Уязвимость средства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с ошибками разграничения доступа, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии до уровня root
13.09.2024
Уязвимость интерфейса REST API платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ на чтение и изменение защищаемой информации
13.09.2024
Уязвимость расширения Adobe Acrobat браузера Microsoft Edge, позволяющая нарушителю выполнить произвольный код