BDU:2020-05846: Уязвимость механизма подмены адресной строки через взаимодействие пользователя с адресной строкой и событием «onblur» браузеров Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю проводить спуфинг-атаки

Описание уязвимости Уязвимость механизма подмены адресной строки через взаимодействие пользователя с адресной строкой и событием «onblur» браузеров Firefox, Firefox ESR и почтового клиента Thunderbird связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить спуфинг-атаки
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Canonical Ltd., АО «ИВК», Novell Inc., Mozilla Corp.
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Ubuntu, Альт Линукс СПТ (запись в едином реестре российских программ №9), OpenSUSE Leap, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Suse Linux Enterprise Server, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Server for Raspberry Pi, Firefox, Thunderbird, Firefox ESR
Версия ПО 1.5 «Смоленск» (Astra Linux Special Edition), 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 17.04 (Ubuntu), 16.10 (Ubuntu), 16.04 LTS (Ubuntu), 7.0 (Альт Линукс СПТ), 42.2 (OpenSUSE Leap), 42.3 (OpenSUSE Leap), 42.1 (OpenSUSE Leap), 12 SP3 (Suse Linux Enterprise Desktop), 12 SP4 (Suse Linux Enterprise Desktop), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Software Development Kit), 12 SP4 (SUSE Linux Enterprise Software Development Kit), 12 SP3 (Suse Linux Enterprise Server), 12 SP4 (Suse Linux Enterprise Server), 11 SP4 (Suse Linux Enterprise Server), 11 SP4 (SUSE Linux Enterprise Software Development Kit), 15.0 (OpenSUSE Leap), 12-LTSS (Suse Linux Enterprise Server), 11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 11 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (Suse Linux Enterprise Server), 14.04 ESM (Ubuntu), 12 SP5 (Suse Linux Enterprise Server), 12 SP5 (SUSE Linux Enterprise Software Development Kit), 11 SP3-LTSS (Suse Linux Enterprise Server), 12 SP2 (Suse Linux Enterprise Desktop), 12 SP2 (SUSE Linux Enterprise Software Development Kit), 12 SP5 (SUSE Linux Enterprise High Performance Computing), 12 (SUSE Linux Enterprise Server for SAP Applications), 12 SP2 (SUSE Linux Enterprise Server for Raspberry Pi), до 53 (Firefox), до 52.1 (Thunderbird), до 52.1 (Firefox ESR)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Red Hat Inc. Red Hat Enterprise Linux 6 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Canonical Ltd. Ubuntu 17.04 Не указана
  • Canonical Ltd. Ubuntu 16.10 Не указана
  • Canonical Ltd. Ubuntu 16.04 LTS Не указана
  • АО «ИВК» Альт Линукс СПТ 7.0 Не указана (запись в едином реестре российских программ №9)
  • Novell Inc. OpenSUSE Leap 42.2 Не указана
  • Novell Inc. OpenSUSE Leap 42.3 Не указана
  • Novell Inc. OpenSUSE Leap 42.1 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4 Не указана
  • Novell Inc. Suse Linux Enterprise Server 11 SP4 Не указана
  • Novell Inc. OpenSUSE Leap 15.0 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS Не указана
  • Canonical Ltd. Ubuntu 14.04 ESM Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP5 Не указана
  • Novell Inc. Suse Linux Enterprise Server 11 SP3-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP2 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 Не указана
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки CWE-20
Класс уязвимости Уязвимость кода
Дата выявления 17.05.2016
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для продуктов Mozilla:
https://www.mozilla.org/security/advisories/mfsa2017-10/
https://www.mozilla.org/security/advisories/mfsa2017-12/
https://www.mozilla.org/security/advisories/mfsa2017-13/

Для продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2017-5451

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2017-5451/

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для Альт Линукс:
https://cve.basealt.ru/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-3260-1?_ga=2.91217818.1630830267.1608209597-1543702552.1605094901
https://ubuntu.com/security/notices/USN-3278-1?_ga=2.91217818.1630830267.1608209597-1543702552.1605094901
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются