Описание уязвимости | Уязвимость функции формирования открытых ключей p256-ECDH браузеров Firefox, Firefox ESR и почтового клиента Thunderbird связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании |
Вендор | ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., Mozilla Corp., АО «Концерн ВНИИНС» |
Наименование ПО | Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Debian GNU/Linux, OpenSUSE Leap, SUSE Package Hub for SUSE Linux Enterprise, Firefox, Firefox ESR, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177) |
Версия ПО | 1.5 «Смоленск» (Astra Linux Special Edition), 7 (Red Hat Enterprise Linux), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 15.0 (OpenSUSE Leap), 15.1 (OpenSUSE Leap), 12 (SUSE Package Hub for SUSE Linux Enterprise), до 67.0 (Firefox), до 60.7 (Firefox ESR), до 60.7 (Thunderbird), 1.0 (ОС ОН «Стрелец») |
Тип ПО | Операционная система, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Недостаточная проверка вводимых данных |
Идентификатор типа ошибки | CWE-20 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 09.07.2019 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Firefox: Обновление программного обеспечения до 68.0-1 или более поздней версии Для Firefox ESR Обновление программного обеспечения до 60.8.0esr-1 или более поздней версии Для Thunderbird: Обновление программного обеспечения до 1:60.8.0-1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета Firefox) до 68.0-1 или более поздней версии, программного обеспечения (пакета Firefox ESR) до 60.8.0esr-1~deb8u1 или более поздней версии, программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета Firefox) до 68.0-1 или более поздней версии, программного обеспечения (пакета Firefox ESR) до 60.8.0esr-1~deb8u1 или более поздней версии, программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии Для программных продуктов Red Hat Inc.: https://access.redhat.com/errata/RHSA-2019:4190 https://access.redhat.com/errata/RHSA-2019:1951 Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Данные уточняются |
Способ эксплуатации |
|
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://nvd.nist.gov/vuln/detail/CVE-2019-11729
https://security-tracker.debian.org/tracker/CVE-2019-11729
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://access.redhat.com/errata/RHSA-2019:4190
https://access.redhat.com/errata/RHSA-2019:1951
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |