БДУ - Print

BDU:2021-02280: Уязвимость режима адаптивного дизайна (Responsive Design Mode) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость режима адаптивного дизайна (Responsive Design Mode) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор	Red Hat Inc., Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE OpenStack Cloud, SUSE Linux Enterprise Software Development Kit, SUSE Enterprise Storage, РЕД ОС (запись в едином реестре российских программ №3751), HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Module for Desktop Applications, SUSE Manager Proxy, SUSE Manager Retail Branch Server, SUSE Manager Server, Thunderbird, Firefox, Firefox ESR, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux), 18.04 LTS (Ubuntu), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 12 SP2-BCL (Suse Linux Enterprise Server), 15 (SUSE Linux Enterprise Server for SAP Applications), 15 SP1 (SUSE Linux Enterprise Server for SAP Applications), 11 SP4-LTSS (Suse Linux Enterprise Server), 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (Suse Linux Enterprise Server), 10.0 (Debian GNU/Linux), 8 (SUSE OpenStack Cloud), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Software Development Kit), Crowbar 8 (SUSE OpenStack Cloud), 6 (SUSE Enterprise Storage), 7.2 Муром (РЕД ОС), 8 (HPE Helion Openstack), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 9 (SUSE OpenStack Cloud), 15-ESPOS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (Suse Linux Enterprise Server), Crowbar 9 (SUSE OpenStack Cloud), 20.04 LTS (Ubuntu), 20.10 (Ubuntu), 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15 SP2 (SUSE Linux Enterprise Workstation Extension), 15.2 (OpenSUSE Leap), 8.1 Extended Update Support (Red Hat Enterprise Linux), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 4.0 (SUSE CaaS Platform), 8.2 Extended Update Support (Red Hat Enterprise Linux), 12 SP4-LTSS (Suse Linux Enterprise Server), 21.04 (Ubuntu), 15 SP1-BCL (Suse Linux Enterprise Server), 15 SP1-LTSS (Suse Linux Enterprise Server), 15 SP2 (SUSE Linux Enterprise Module for Desktop Applications), 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing), 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing), 15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 4.0 (SUSE Manager Proxy), 4.0 (SUSE Manager Retail Branch Server), 4.0 (SUSE Manager Server), 15 SP3 (SUSE Linux Enterprise Workstation Extension), 12 SP2-LTSS-ERICSSON (Suse Linux Enterprise Server), 12 SP2-LTSS-SAP (Suse Linux Enterprise Server), 12 SP2-LTSS-ERICSSON (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS-SAP (SUSE Linux Enterprise Server for SAP Applications), до 78.10 (Thunderbird), до 88 (Firefox), до 78.10 (Firefox ESR), 16.04 ESM (Ubuntu), 15 SP3 (SUSE Linux Enterprise Module for Desktop Applications), 1.0 (ОС ОН «Стрелец»), до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Не указана Canonical Ltd. Ubuntu 18.04 LTS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Red Hat Inc. Red Hat Enterprise Linux 8 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Не указана Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS Не указана Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Не указана Novell Inc. Suse Linux Enterprise Server 12 SP5 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Не указана ООО «Ред Софт» РЕД ОС 7.2 Муром Не указана (запись в едином реестре российских программ №3751) Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS Не указана Novell Inc. Suse Linux Enterprise Server 15-LTSS Не указана Canonical Ltd. Ubuntu 20.04 LTS Не указана Canonical Ltd. Ubuntu 20.10 Не указана Novell Inc. OpenSUSE Leap 15.2 Не указана Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-ESPOS Не указана Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Не указана Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Не указана Canonical Ltd. Ubuntu 21.04 Не указана Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Не указана Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Не указана Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-ERICSSON Не указана Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-SAP Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-ERICSSON Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-SAP Не указана Canonical Ltd. Ubuntu 16.04 ESM Не указана
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	19.04.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Mozilla Corp.: https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/ Для РЕД ОС: https://redos.red-soft.ru/updatesec/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-23995 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-23995/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-23995 Для Ubuntu: https://ubuntu.com/security/notices/USN-4926-1 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОСОН Основа: Обновление программного обеспечения firefox-esr до версии 78.13.0esr+repack-1~deb10u1.osnova2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/CVE-2021-23995 https://redos.red-soft.ru/updatesec/ https://security-tracker.debian.org/tracker/CVE-2021-23995 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://ubuntu.com/security/notices/USN-4926-1 https://www.cybersecurity-help.cz/vdb/SB2021042934 https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/ https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/ https://www.suse.com/security/cve/CVE-2021-23995/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-23995
Прочая информация	Данные уточняются