Описание уязвимости | Уязвимость режима адаптивного дизайна (Responsive Design Mode) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код |
Вендор | Red Hat Inc., Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ" |
Наименование ПО | Red Hat Enterprise Linux, Ubuntu, SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE OpenStack Cloud, SUSE Linux Enterprise Software Development Kit, SUSE Enterprise Storage, РЕД ОС (запись в едином реестре российских программ №3751), HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Module for Desktop Applications, SUSE Manager Proxy, SUSE Manager Retail Branch Server, SUSE Manager Server, Thunderbird, Firefox, Firefox ESR, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
Версия ПО | 7 (Red Hat Enterprise Linux), 18.04 LTS (Ubuntu), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 12 SP2-BCL (Suse Linux Enterprise Server), 15 (SUSE Linux Enterprise Server for SAP Applications), 15 SP1 (SUSE Linux Enterprise Server for SAP Applications), 11 SP4-LTSS (Suse Linux Enterprise Server), 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (Suse Linux Enterprise Server), 10.0 (Debian GNU/Linux), 8 (SUSE OpenStack Cloud), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Software Development Kit), Crowbar 8 (SUSE OpenStack Cloud), 6 (SUSE Enterprise Storage), 7.2 Муром (РЕД ОС), 8 (HPE Helion Openstack), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 9 (SUSE OpenStack Cloud), 15-ESPOS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (Suse Linux Enterprise Server), Crowbar 9 (SUSE OpenStack Cloud), 20.04 LTS (Ubuntu), 20.10 (Ubuntu), 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15 SP2 (SUSE Linux Enterprise Workstation Extension), 15.2 (OpenSUSE Leap), 8.1 Extended Update Support (Red Hat Enterprise Linux), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 4.0 (SUSE CaaS Platform), 8.2 Extended Update Support (Red Hat Enterprise Linux), 12 SP4-LTSS (Suse Linux Enterprise Server), 21.04 (Ubuntu), 15 SP1-BCL (Suse Linux Enterprise Server), 15 SP1-LTSS (Suse Linux Enterprise Server), 15 SP2 (SUSE Linux Enterprise Module for Desktop Applications), 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing), 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing), 15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 4.0 (SUSE Manager Proxy), 4.0 (SUSE Manager Retail Branch Server), 4.0 (SUSE Manager Server), 15 SP3 (SUSE Linux Enterprise Workstation Extension), 12 SP2-LTSS-ERICSSON (Suse Linux Enterprise Server), 12 SP2-LTSS-SAP (Suse Linux Enterprise Server), 12 SP2-LTSS-ERICSSON (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS-SAP (SUSE Linux Enterprise Server for SAP Applications), до 78.10 (Thunderbird), до 88 (Firefox), до 78.10 (Firefox ESR), 16.04 ESM (Ubuntu), 15 SP3 (SUSE Linux Enterprise Module for Desktop Applications), 1.0 (ОС ОН «Стрелец»), до 2.1 (ОСОН ОСнова Оnyx) |
Тип ПО | Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Использование после освобождения |
Идентификатор типа ошибки | CWE-416 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 19.04.2021 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/ Для РЕД ОС: https://redos.red-soft.ru/updatesec/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-23995 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-23995/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-23995 Для Ubuntu: https://ubuntu.com/security/notices/USN-4926-1 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2 |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Данные уточняются |
Способ эксплуатации |
|
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://access.redhat.com/security/cve/CVE-2021-23995
https://redos.red-soft.ru/updatesec/
https://security-tracker.debian.org/tracker/CVE-2021-23995
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://ubuntu.com/security/notices/USN-4926-1
https://www.cybersecurity-help.cz/vdb/SB2021042934
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/
https://www.suse.com/security/cve/CVE-2021-23995/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |