BDU:2019-02933: Уязвимость браузеров Firefox ESR, Firefox и почтового клиента Thunderbird, связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость браузеров Firefox ESR, Firefox и почтового клиента Thunderbird связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем загрузки вредоносного языкового пакета
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Mozilla Corp., ООО «Ред Софт», АО «Концерн ВНИИНС»
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, Firefox, Firefox ESR, Thunderbird, РЕД ОС (запись в едином реестре российских программ №3751), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 9 (Debian GNU/Linux), 1.6 «Смоленск» (Astra Linux Special Edition), 15.0 (OpenSUSE Leap), 15.1 (OpenSUSE Leap), до 68.0 (Firefox), до 60.8.0 (Firefox ESR), до 60.8.0 (Thunderbird), 8 (Debian GNU/Linux), 7.1 МУРОМ (РЕД ОС), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки CWE-264
Класс уязвимости Уязвимость архитектуры
Дата выявления 09.07.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2019-21/
https://www.mozilla.org/security/advisories/mfsa2019-22/
https://www.mozilla.org/security/advisories/mfsa2019-23/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/08/msg00001.html
https://lists.debian.org/debian-lts-announce/2019/08/msg00002.html

Для РЕД ОС:
Обновить программное обеспечение до актуальной версии

Для Astra Linux:
Обновление программного обеспечения (пакета Firefox) до 68.0-1 или более поздней версии, программного обеспечения (пакета Firefox ESR) до 60.8.0esr-1~deb8u1 или более поздней версии, программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -