BDU:2022-05497: Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю повысить свои привилегии

Описание уязвимости Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неверным ограничением визуализируемых слоев или фреймов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Вендор The CentOS Project, Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, Mozilla Corp., АО "НППКТ"
Наименование ПО CentOS, Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Thunderbird, Firefox, Firefox ESR, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (CentOS)
  • 7 (Red Hat Enterprise Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 8.2 Extended Update Support (Red Hat Enterprise Linux)
  • 11 (Debian GNU/Linux)
  • 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.4 Extended Update Support (Red Hat Enterprise Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • ИК6 (ОС ТД АИС ФССП России)
  • 9 (Red Hat Enterprise Linux)
  • до 91.13 (Thunderbird)
  • до 104 (Firefox)
  • от 102 до 102.2 (Firefox ESR)
  • до 91.13 (Firefox ESR)
  • от 102 до 102.2 (Thunderbird)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 23.08.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-38473

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-38473

Для CentOS 7:
https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6169-important-centos-7-thunderbird-18-01-42
https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6179-important-centos-7-firefox-18-00-44

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения firefox-esr до версии 102.4.0esr+repack-1~deb10u1.osnova1

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения