BDU:2022-04065: Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с неправильной обработкой ошибок при обработке недоступного PAC-файла, позволяющая нарушителю задать URL-адрес PAC, и если сервер, на котором размещен PAC, недоступен, запросы OCSP блокируются, что приводит к отображению неверных страниц ошибок

Описание уязвимости Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неправильной обработкой ошибок при обработке недоступного PAC-файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, задать URL-адрес PAC, и если сервер, на котором размещен PAC, недоступен, запросы OCSP блокируются, что приводит к отображению неверных страниц ошибок
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, Mozilla Corp., АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox, Firefox ESR, Thunderbird, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 6 (Red Hat Enterprise Linux)
  • 7 (Red Hat Enterprise Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • 11.0 (Debian GNU/Linux)
  • 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.4 Extended Update Support (Red Hat Enterprise Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • 9 (Red Hat Enterprise Linux)
  • до 102 (Firefox)
  • до 91.11 (Firefox ESR)
  • до 102 (Thunderbird)
  • до 91.11 (Thunderbird)
  • до 2.5.1 (ОСОН ОСнова Оnyx)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 6
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
  • Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • ФССП России ОС ТД АИС ФССП России ИК6
  • Red Hat Inc. Red Hat Enterprise Linux 9
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки Возврат неправильного кода состояния
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 28.06.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-24/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-25/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-26/

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-firefox-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-cve-2/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-thunderbird-cve-2022-34479-cve-2022-34470-cve-2022-34468-cve-2022-34481-c/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-34472

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-34472

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения firefox-esr до версии 91.11.0esr+repack-1~deb10u1.osnova1

Для ОСОН Основа:
Обновление программного обеспечения thunderbird до версии 1:91.11.0+repack-1~deb10u1.osnova1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения