BDU:2021-01749: Уязвимость реализация WebRTC веб-браузеров Google Chrome, Firefox, Firefox-ESR и почтового клиента Thunderbird, связанная с переполнением буфера кучи, позволяющая нарушителю нарушить целостность данных

Описание уязвимости Уязвимость реализация WebRTC веб-браузеров Google Chrome, Firefox, Firefox-ESR и почтового клиента Thunderbird связана с переполнением буфера кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Mozilla Corp., Google Inc., АО «Концерн ВНИИНС»
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Fedora, Firefox, Firefox ESR, Thunderbird, Google Chrome, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 16.04 LTS (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 2.12 «Орёл» (Astra Linux Common Edition), 15.1 (OpenSUSE Leap), 10.0 (Debian GNU/Linux), 31 (Fedora), 15.1 NonFree (OpenSUSE Leap), 32 (Fedora), 20.04 LTS (Ubuntu), 15.2 (OpenSUSE Leap), 15.2 NonFree (OpenSUSE Leap), до 79.0 (Firefox), до 78.1 (Firefox ESR), до 78.1 (Thunderbird), до 84.0.4147.89 (Google Chrome), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 16.04 LTS 32-bit
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» Не указана (запись в едином реестре российских программ №4433)
  • Novell Inc. OpenSUSE Leap 15.1 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • Fedora Project Fedora 31 Не указана
  • Novell Inc. OpenSUSE Leap 15.1 NonFree Не указана
  • Fedora Project Fedora 32 Не указана
  • Canonical Ltd. Ubuntu 20.04 LTS Не указана
  • Novell Inc. OpenSUSE Leap 15.2 Не указана
  • Novell Inc. OpenSUSE Leap 15.2 NonFree Не указана
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 Не указана (запись в едином реестре российских программ №6177)
Тип ошибки Переполнение буфера в куче
Идентификатор типа ошибки CWE-122
Класс уязвимости Уязвимость кода
Дата выявления 22.07.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Google Chrome:
https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-6514

Для Firefox:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-30/#CVE-2020-6514

Для Firefox ESR:
ttps://www.mozilla.org/en-US/security/advisories/mfsa2020-31/#CVE-2020-6514

Для Thunderbird:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-35/#CVE-2020-6514

Для Astra Linux:
htttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00069.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00007.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00008.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00011.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00018.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00022.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00025.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00041.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4443-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTRPPTKZ2RKVH2XGQCWNFZ7FOGQ5LLCA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MYIDWCHG24ZTFD4P42D4A4WWPPA74BCG/


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00069.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00007.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00008.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00011.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00018.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00022.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00025.html http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00032.html http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00041.html http://packetstormsecurity.com/files/158697/WebRTC-usrsctp-Incorrect-Call.html https://chromereleases.googleblog.com/2020/07/stable-channel-update-for-desktop.html https://crbug.com/1076703 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MTRPPTKZ2RKVH2XGQCWNFZ7FOGQ5LLCA/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MYIDWCHG24ZTFD4P42D4A4WWPPA74BCG/ https://nvd.nist.gov/vuln/detail/CVE-2020-6514 https://security-tracker.debian.org/tracker/CVE-2020-6514 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/notices/USN-4443-1 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.mozilla.org/en-US/security/advisories/mfsa2020-30/ https://www.mozilla.org/en-US/security/advisories/mfsa2020-31/ https://www.mozilla.org/en-US/security/advisories/mfsa2020-35/
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются