БДУ - Print

BDU:2020-05537: Уязвимость синтаксического анализа и загрузки событий в коде SVG веб-браузера Firefox и почтового клиента Thunderbird, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)

Описание уязвимости	Уязвимость синтаксического анализа и загрузки событий в коде SVG веб-браузера Firefox и почтового клиента Thunderbird связана с отсутствием проверки целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки (XSS)
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Firefox, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 10.0 (Debian GNU/Linux), 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux), 8.1 Extended Update Support (Red Hat Enterprise Linux), 8.2 Extended Update Support (Red Hat Enterprise Linux), до 83.0-1 (Firefox), до 78.5 (Thunderbird), 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 64-bit Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Red Hat Inc. Red Hat Enterprise Linux 6 Не указана Red Hat Inc. Red Hat Enterprise Linux 7 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Red Hat Inc. Red Hat Enterprise Linux 8 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions Не указана Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Не указана АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки	Неправильное подтверждение значения проверки целостности
Идентификатор типа ошибки	CWE-354
Класс уязвимости	Уязвимость кода
Дата выявления	17.11.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/ https://www.mozilla.org/en-US/security/advisories/mfsa2020-52/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-26951 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-26951 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-26951 https://security-tracker.debian.org/tracker/CVE-2020-26951 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://www.mozilla.org/en-US/security/advisories/mfsa2020-50 https://www.mozilla.org/en-US/security/advisories/mfsa2020-52
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-26951
Прочая информация	Данные уточняются