БДУ - Уязвимости

BDU:2022-05497: Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неверным ограничением визуализируемых слоев или фреймов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Вендор	The CentOS Project, Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, Mozilla Corp., АО "НППКТ"
Наименование ПО	CentOS, Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Thunderbird, Firefox, Firefox ESR, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (CentOS) 7 (Red Hat Enterprise Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 8.2 Extended Update Support (Red Hat Enterprise Linux) 11 (Debian GNU/Linux) 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Extended Update Support (Red Hat Enterprise Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) ИК6 (ОС ТД АИС ФССП России) 9 (Red Hat Enterprise Linux) до 91.13 (Thunderbird) до 104 (Firefox) от 102 до 102.2 (Firefox ESR) до 91.13 (Firefox ESR) от 102 до 102.2 (Thunderbird) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	The CentOS Project CentOS 7 Red Hat Inc. Red Hat Enterprise Linux 7 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Сообщество свободного программного обеспечения Debian GNU/Linux 11 Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 Red Hat Inc. Red Hat Enterprise Linux 9 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки	CWE-1021
Класс уязвимости	Уязвимость кода
Дата выявления	23.08.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для продуктов Mozilla: https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/ Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-38473 Для Debian: https://security-tracker.debian.org/tracker/CVE-2022-38473 Для CentOS 7: https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6169-important-centos-7-thunderbird-18-01-42 https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6179-important-centos-7-firefox-18-00-44 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения firefox-esr до версии 102.4.0esr+repack-1~deb10u1.osnova1 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16 Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/CVE-2022-38473 https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/ https://security-tracker.debian.org/tracker/CVE-2022-38473 https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6169-important-centos-7-thunderbird-18-01-42 https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6179-important-centos-7-firefox-18-00-44 https://goslinux.fssp.gov.ru/2726972/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-38473 CESA: CESA-2022-6179 CESA: CESA-2022-6169 MFSA: MFSA 2022-37 MFSA: MFSA 2022-36 MFSA: MFSA 2022-35 MFSA: MFSA 2022-34 MFSA: MFSA 2022-33
Прочая информация	Данные уточняются

Последние изменения

30.01.2023 Уязвимость SCADA-систем EcoStruxure Geo SCADA Expert 2020, EcoStruxure Geo SCADA Expert 2019, связанная с отсутствием защиты служебных данных, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость реализации протокола Internet Key Exchange (IKE) операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость библиотеки Microsoft DWM Core Library операционных систем Windows, позволяющая нарушителю повысить свои привилегии
30.01.2023 Уязвимость реализации протокола Point-to-Point Protocol (PPP) операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
30.01.2023 Уязвимость браузера Microsoft Edge, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии
30.01.2023 Уязвимость службы Cryptographic Services операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию
30.01.2023 Уязвимость компонента Win32k (Win32k.sys) операционной системы Windows, позволяющая нарушителю повысить свои привилегии
30.01.2023 Уязвимость компонента Overlay Filter операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
30.01.2023 Уязвимость файла fs/io_uring.c подсистемы io_uring ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость функции read_bbreg_hdl() в модуле drivers/staging/rtl8712/rtl8712_cmd.c Wi-Fi драйвера rtl8712 ядра операционной системы Linux, позволяющая нарушителю вызвато отказ в обслуживании

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»