Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05298: Уязвимость функции PK11_ChangePW браузера Mozilla Firefox, почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции PK11_ChangePW браузера Mozilla Firefox, почтового клиента Thunderbird связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, Mozilla Corp., АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Firefox ESR, Thunderbird, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	6 (Red Hat Enterprise Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 8.2 Extended Update Support (Red Hat Enterprise Linux) 11.0 (Debian GNU/Linux) 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Extended Update Support (Red Hat Enterprise Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) до 102.2 (Firefox ESR) до 102.2 (Thunderbird) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	23.08.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/#CVE-2022-38476 https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/#CVE-2022-38476 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-38476 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-38476 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16 Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/#CVE-2022-38476 https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/#CVE-2022-38476 https://security-tracker.debian.org/tracker/CVE-2022-38476 https://access.redhat.com/security/cve/cve-2022-38476 https://goslinux.fssp.gov.ru/2726972/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-38476
Прочая информация	Данные уточняются

Последние изменения