Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05178: Уязвимость push-уведомлений браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить доступ к конфиденциальной информации

Описание уязвимости	Уязвимость push-уведомлений браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана c открытым хранением информации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
Вендор	Red Hat Inc., Novell Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «Ред Софт», Mozilla Corp.
Наименование ПО	Red Hat Enterprise Linux, SUSE Linux Enterprise Server for SAP Applications, Suse Linux Enterprise Server, Debian GNU/Linux, Ubuntu, РЕД ОС (запись в едином реестре российских программ №3751), Firefox, Firefox ESR, Thunderbird
Версия ПО	7 (Red Hat Enterprise Linux) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (Suse Linux Enterprise Server) 8 (Red Hat Enterprise Linux) 12 SP2-BCL (Suse Linux Enterprise Server) 12 SP2-ESPOS (Suse Linux Enterprise Server) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 11 SP4-LTSS (Suse Linux Enterprise Server) 12 SP2-LTSS (Suse Linux Enterprise Server) 12 SP3-LTSS (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Server for SAP Applications) 10 (Debian GNU/Linux) 12 SP3-ESPOS (Suse Linux Enterprise Server) 15-LTSS (Suse Linux Enterprise Server) 12 SP1 (Suse Linux Enterprise Server) 20.04 LTS (Ubuntu) 12 SP4 LTSS (Suse Linux Enterprise Server) 12 SP4-ESPOS (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux) 7.3 (РЕД ОС) 15 SP3 (Suse Linux Enterprise Server) 15 SP3 (SUSE Linux Enterprise Server for SAP Applications) 15 SP2 (Suse Linux Enterprise Server) 15 SP2 (SUSE Linux Enterprise Server for SAP Applications) 15 (Suse Linux Enterprise Server) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 9 (Red Hat Enterprise Linux) 15 SP2-LTSS (Suse Linux Enterprise Server) 8.2 Telecommunications Update Service (Red Hat Enterprise Linux) 8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.2 Advanced Update Support (Red Hat Enterprise Linux) 15 SP3-LTSS (Suse Linux Enterprise Server) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 8.4 Telecommunications Update Service (Red Hat Enterprise Linux) 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) до 117 (Firefox) до 115.2 (Firefox ESR) до 115.2 (Thunderbird)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Novell Inc. Suse Linux Enterprise Server 12 SP4 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Novell Inc. Suse Linux Enterprise Server 15-LTSS Novell Inc. Suse Linux Enterprise Server 12 SP1 Canonical Ltd. Ubuntu 20.04 LTS Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Сообщество свободного программного обеспечения Debian GNU/Linux 11 Сообщество свободного программного обеспечения Debian GNU/Linux 12 Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Novell Inc. Suse Linux Enterprise Server 15 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 Novell Inc. Suse Linux Enterprise Server 15 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 Novell Inc. Suse Linux Enterprise Server 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4 Red Hat Inc. Red Hat Enterprise Linux 9 Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5 Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
Тип ошибки	Незашифрованное хранение данных в файле или на диске
Идентификатор типа ошибки	CWE-313
Класс уязвимости	Уязвимость кода
Дата выявления	29.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-38/ Для программных продуктов NetApp Inc.: https://www.suse.com/security/cve/CVE-2023-4580.html Для Ubuntu: https://ubuntu.com/security/CVE-2023-4580 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-4580 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-4580 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Результаты тестирования обновлений: Обновление Mozilla Firefox Обновление Mozilla Firefox Обновление Mozilla Firefox
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.suse.com/security/cve/CVE-2023-4580.html https://ubuntu.com/security/CVE-2023-4580 https://access.redhat.com/security/cve/cve-2023-4580 https://security-tracker.debian.org/tracker/CVE-2023-4580 https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-38/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-4580
Прочая информация	Данные уточняются

Последние изменения