BDU:2018-01443: Уязвимость веб-браузера Firefox ESR и почтового клиента Thunderbird, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость веб-браузера Firefox ESR и почтового клиента Thunderbird связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор Canonical Ltd., Red Hat Inc., ООО «Альт Линукс», Сообщество свободного программного обеспечения, Novell Inc., АО «НПО РусБИТех»
Наименование ПО Ubuntu, Red Hat Enterprise Linux, Альт Линукс СПТ, Debian GNU/Linux, OpenSUSE Leap, Astra Linux, Альт 8 СП Рабочая станция
Версия ПО 14.04 LTS (Ubuntu), 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 7.0 (Альт Линукс СПТ), 9 (Debian GNU/Linux), 42.3 (OpenSUSE Leap), 18.04 LTS (Ubuntu), 18.10 (Ubuntu), 1.6 «Смоленск» (Astra Linux), - (Альт 8 СП Рабочая станция), 15.0 (OpenSUSE Leap), 8 (Debian GNU/Linux)
Тип ПО Операционная система
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 14.04 LTS Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 6 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • ООО «Альт Линукс» Альт Линукс СПТ 7.0 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9 Не указана
  • Novell Inc. OpenSUSE Leap 42.3 Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • Mozilla Corp. Firefox ESR до 60.3 Не указана
  • Mozilla Corp. Thunderbird до 60.3 Не указана
  • Canonical Ltd. Ubuntu 18.10 Не указана
  • АО «НПО РусБИТех» Astra Linux 1.6 «Смоленск» Не указана
  • ООО «Альт Линукс» Альт 8 СП Рабочая станция - Не указана
  • Novell Inc. OpenSUSE Leap 15.0 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8 Не указана
Тип ошибки Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки CWE-190
Класс уязвимости Уязвимость кода
Дата выявления 23.10.2018
Базовый вектор уязвимости
  • AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla:
https://www.mozilla.org/security/advisories/mfsa2018-27/
https://www.mozilla.org/security/advisories/mfsa2018-28/

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Для Альт Линукс:
https://cve.basealt.ru/

Для продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2018-12389

Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2018-12389/

Для Debian:
https://lists.debian.org/debian-lts-announce/2018/11/msg00008.html
https://lists.debian.org/debian-lts-announce/2018/11/msg00011.html
https://www.debian.org/security/2018/dsa-4324
https://www.debian.org/security/2018/dsa-4337

Для Ubuntu:
https://usn.ubuntu.com/3868-1/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -