БДУ - Print

BDU:2021-01665: Уязвимость реализации блока COOKIE-ECHO расширения WebRTC браузеров Google Chrome, Mozilla Firefox, Firefox ESR и Firefox for Android, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости	Уязвимость реализации блока COOKIE-ECHO расширения WebRTC браузеров Google Chrome, Mozilla Firefox, Firefox ESR и Firefox for Android связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код с помощью специально созданного SCTP-пакета
Вендор	Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., Google Inc., Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Google Chrome, Firefox, Firefox ESR, Firefox for Android, Thunderbird, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	7 (Red Hat Enterprise Linux), 16.04 LTS (Ubuntu), 9 (Debian GNU/Linux), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 2.12 «Орёл» (Astra Linux Common Edition), 8 (Red Hat Enterprise Linux), 15.1 (OpenSUSE Leap), 10.0 (Debian GNU/Linux), 10 (Debian GNU/Linux), 20.10 (Ubuntu), 15.2 (OpenSUSE Leap), 8.1 Extended Update Support (Red Hat Enterprise Linux), 8.2 Extended Update Support (Red Hat Enterprise Linux), 20.10 LTS (Ubuntu), до 88.0.4324.96 (Google Chrome), до 84.0.2 (Firefox), до 78.6.1 (Firefox ESR), до 84.1.3 (Firefox for Android), до 78.6.1 (Thunderbird), 1.0 (ОС ОН «Стрелец»), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Canonical Ltd. Ubuntu 16.04 LTS 32-bit Red Hat Inc. Red Hat Enterprise Linux 7 Не указана Canonical Ltd. Ubuntu 16.04 LTS Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9 Не указана Canonical Ltd. Ubuntu 18.04 LTS Не указана ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» Не указана (запись в едином реестре российских программ №4433) Red Hat Inc. Red Hat Enterprise Linux 8 Не указана Novell Inc. OpenSUSE Leap 15.1 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана Canonical Ltd. Ubuntu 20.10 Не указана Novell Inc. OpenSUSE Leap 15.2 Не указана Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Не указана Canonical Ltd. Ubuntu 20.10 LTS Не указана АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 Не указана (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 Не указана (запись в едином реестре российских программ №369)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	05.01.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-16044/ Для Ubuntu: https://usn.ubuntu.com/usn/usn-4687-1 https://usn.ubuntu.com/usn/usn-4701-1 Для программных продуктов Mozilla: https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/ Для программных продуктов Red Hat.: https://access.redhat.com/security/cve/cve-2020-16044 Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-16044 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-16044 https://chromereleases.googleblog.com/2021/01/stable-channel-update-for-desktop_19.html https://nvd.nist.gov/vuln/detail/CVE-2020-16044 https://security-tracker.debian.org/tracker/CVE-2020-16044 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://usn.ubuntu.com/usn/usn-4687-1 https://usn.ubuntu.com/usn/usn-4701-1 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/ https://www.suse.com/security/cve/CVE-2020-16044/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-16044 MFSA: MFSA 2021-01
Прочая информация	Данные уточняются