Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05173: Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, связанная с недостаточным предупреждением об опасных действиях, позволяющая нарушителю загружать произвольные файлы

Описание уязвимости	Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с недостаточным предупреждением об опасных действиях. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, загружать произвольные файлы
Вендор	Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Ред Софт», Mozilla Corp.
Наименование ПО	Red Hat Enterprise Linux, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Debian GNU/Linux, Ubuntu, РЕД ОС (запись в едином реестре российских программ №3751), Firefox, Firefox ESR, Thunderbird
Версия ПО	7 (Red Hat Enterprise Linux) 12 SP4 (Suse Linux Enterprise Desktop) 12 SP2 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (Suse Linux Enterprise Server) 8 (Red Hat Enterprise Linux) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP2-ESPOS (Suse Linux Enterprise Server) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4-LTSS (Suse Linux Enterprise Server) 12 SP2-LTSS (Suse Linux Enterprise Server) 12 SP3-LTSS (Suse Linux Enterprise Server) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 10 (Debian GNU/Linux) 12 SP3-ESPOS (Suse Linux Enterprise Server) 15-LTSS (Suse Linux Enterprise Server) 20.04 LTS (Ubuntu) 12 SP4-ESPOS (Suse Linux Enterprise Server) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 15 SP1 (Suse Linux Enterprise Server) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP3 (Suse Linux Enterprise Desktop) 15 SP2 (Suse Linux Enterprise Server) 15 SP2 (SUSE Linux Enterprise Server for SAP Applications) 15 SP4 (Suse Linux Enterprise Server) 15 SP2 (Suse Linux Enterprise Desktop) 15 SP4 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Server) 15 SP2-BCL (Suse Linux Enterprise Server) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 9 (Red Hat Enterprise Linux) 15 SP2-LTSS (Suse Linux Enterprise Server) 15 SP1 (Suse Linux Enterprise Desktop) 15 (Suse Linux Enterprise Desktop) 15 SP3-LTSS (Suse Linux Enterprise Server) 15 SP3-BCL (Suse Linux Enterprise Server) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 15 SP5 (Suse Linux Enterprise Server) 15 SP5 (Suse Linux Enterprise Desktop) до 117 (Firefox) до 115.2 (Firefox ESR) до 115.2 (Thunderbird) до 102.15 (Firefox ESR)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP4 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. Suse Linux Enterprise Server 15-LTSS Canonical Ltd. Ubuntu 20.04 LTS Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Novell Inc. Suse Linux Enterprise Server 15 SP1 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Сообщество свободного программного обеспечения Debian GNU/Linux 12 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Novell Inc. Suse Linux Enterprise Desktop 15 SP3 Novell Inc. Suse Linux Enterprise Server 15 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 Novell Inc. Suse Linux Enterprise Server 15 SP4 Novell Inc. Suse Linux Enterprise Desktop 15 SP2 Novell Inc. Suse Linux Enterprise Desktop 15 SP4 Novell Inc. Suse Linux Enterprise Server 15 Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Red Hat Inc. Red Hat Enterprise Linux 9 Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS Novell Inc. Suse Linux Enterprise Desktop 15 SP1 Novell Inc. Suse Linux Enterprise Desktop 15 Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 Novell Inc. Suse Linux Enterprise Server 15 SP5 Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Тип ошибки	Недостаточное предупреждение об опасных действиях
Идентификатор типа ошибки	CWE-357
Класс уязвимости	Уязвимость кода
Дата выявления	29.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-38/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-4581 Для программных продуктов NetApp Inc.: https://www.suse.com/security/cve/CVE-2023-4581.html Для Ubuntu: https://ubuntu.com/security/CVE-2023-4581 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-4581 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Результаты тестирования обновлений: Обновление Mozilla Firefox Обновление Mozilla Firefox Обновление Mozilla Firefox
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Злоупотребление функционалом
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://security-tracker.debian.org/tracker/CVE-2023-4581 https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://access.redhat.com/security/cve/cve-2023-4581 https://www.suse.com/security/cve/CVE-2023-4581.html https://ubuntu.com/security/CVE-2023-4583 https://www.mozilla.org/en-US/security/advisories/mfsa2023-38/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/ https://security-tracker.debian.org/tracker/CVE-2023-4581 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-4581
Прочая информация	Данные уточняются

Последние изменения