БДУ - Print

BDU:2021-01749: Уязвимость реализация WebRTC веб-браузеров Google Chrome, Firefox, Firefox-ESR и почтового клиента Thunderbird, связанная с переполнением буфера кучи, позволяющая нарушителю нарушить целостность данных

Описание уязвимости	Уязвимость реализация WebRTC веб-браузеров Google Chrome, Firefox, Firefox-ESR и почтового клиента Thunderbird связана с переполнением буфера кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных
Вендор	Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Mozilla Corp., Google Inc., АО «Концерн ВНИИНС»
Наименование ПО	Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Fedora, Firefox, Firefox ESR, Thunderbird, Google Chrome, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	16.04 LTS (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 2.12 «Орёл» (Astra Linux Common Edition), 15.1 (OpenSUSE Leap), 10.0 (Debian GNU/Linux), 31 (Fedora), 15.1 NonFree (OpenSUSE Leap), 32 (Fedora), 20.04 LTS (Ubuntu), 15.2 (OpenSUSE Leap), 15.2 NonFree (OpenSUSE Leap), до 79.0 (Firefox), до 78.1 (Firefox ESR), до 78.1 (Thunderbird), до 84.0.4147.89 (Google Chrome), 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit Canonical Ltd. Ubuntu 18.04 LTS Не указана ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» Не указана (запись в едином реестре российских программ №4433) Novell Inc. OpenSUSE Leap 15.1 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Fedora Project Fedora 31 Не указана Novell Inc. OpenSUSE Leap 15.1 NonFree Не указана Fedora Project Fedora 32 Не указана Canonical Ltd. Ubuntu 20.04 LTS Не указана Novell Inc. OpenSUSE Leap 15.2 Не указана Novell Inc. OpenSUSE Leap 15.2 NonFree Не указана АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки	Переполнение буфера в куче
Идентификатор типа ошибки	CWE-122
Класс уязвимости	Уязвимость кода
Дата выявления	22.07.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-6514 Для Firefox: https://www.mozilla.org/en-US/security/advisories/mfsa2020-30/#CVE-2020-6514 Для Firefox ESR: ttps://www.mozilla.org/en-US/security/advisories/mfsa2020-31/#CVE-2020-6514 Для Thunderbird: https://www.mozilla.org/en-US/security/advisories/mfsa2020-35/#CVE-2020-6514 Для Astra Linux: htttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00069.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00007.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00008.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00018.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00022.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00025.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00032.html http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00041.html Для Ubuntu: https://ubuntu.com/security/notices/USN-4443-1 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTRPPTKZ2RKVH2XGQCWNFZ7FOGQ5LLCA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MYIDWCHG24ZTFD4P42D4A4WWPPA74BCG/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00069.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00007.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00008.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00018.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00022.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00025.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00032.html http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00041.html http://packetstormsecurity.com/files/158697/WebRTC-usrsctp-Incorrect-Call.html https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html https://crbug.com/1076703 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTRPPTKZ2RKVH2XGQCWNFZ7FOGQ5LLCA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MYIDWCHG24ZTFD4P42D4A4WWPPA74BCG/ https://nvd.nist.gov/vuln/detail/CVE-2020-6514 https://security-tracker.debian.org/tracker/CVE-2020-6514 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/notices/USN-4443-1 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.mozilla.org/en-US/security/advisories/mfsa2020-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2020-31/ https://www.mozilla.org/en-US/security/advisories/mfsa2020-35/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-6514
Прочая информация	Данные уточняются