BDU:2021-02281: Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, связанная с ошибками при сохранении разрешений, позволяющая нарушителю ошибочно присвоить сертификат безопасности HTTP-странице

Описание уязвимости Уязвимость почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с ошибками при сохранении разрешений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, ошибочно присвоить сертификат безопасности HTTP-странице
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Mozilla Corp., АО «Концерн ВНИИНС»
Наименование ПО Red Hat Enterprise Linux, Ubuntu, SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE OpenStack Cloud, SUSE Linux Enterprise Software Development Kit, SUSE Enterprise Storage, РЕД ОС (запись в едином реестре российских программ №3751), HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Workstation Extension, OpenSUSE Leap, SUSE CaaS Platform, SUSE Linux Enterprise Module for Desktop Applications, SUSE Manager Proxy, SUSE Manager Retail Branch Server, SUSE Manager Server, Thunderbird, Firefox, Firefox ESR, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 7 (Red Hat Enterprise Linux), 18.04 LTS (Ubuntu), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 9.0 (Debian GNU/Linux), 8 (Red Hat Enterprise Linux), 12 SP2-BCL (Suse Linux Enterprise Server), 15 (SUSE Linux Enterprise Server for SAP Applications), 15 SP1 (SUSE Linux Enterprise Server for SAP Applications), 11 SP4-LTSS (Suse Linux Enterprise Server), 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (Suse Linux Enterprise Server), 10.0 (Debian GNU/Linux), 8 (SUSE OpenStack Cloud), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Software Development Kit), Crowbar 8 (SUSE OpenStack Cloud), 6 (SUSE Enterprise Storage), 7.2 Муром (РЕД ОС), 8 (HPE Helion Openstack), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 9 (SUSE OpenStack Cloud), 15-ESPOS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (SUSE Linux Enterprise High Performance Computing), 15-LTSS (Suse Linux Enterprise Server), Crowbar 9 (SUSE OpenStack Cloud), 20.04 LTS (Ubuntu), 20.10 (Ubuntu), 15 SP2 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15 SP2 (SUSE Linux Enterprise Workstation Extension), 15.2 (OpenSUSE Leap), 8.1 Extended Update Support (Red Hat Enterprise Linux), 12 SP4-ESPOS (Suse Linux Enterprise Server), 12 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP4-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 4.0 (SUSE CaaS Platform), 8.2 Extended Update Support (Red Hat Enterprise Linux), 12 SP4-LTSS (Suse Linux Enterprise Server), 21.04 (Ubuntu), 15 SP1-BCL (Suse Linux Enterprise Server), 15 SP1-LTSS (Suse Linux Enterprise Server), 15 SP2 (SUSE Linux Enterprise Module for Desktop Applications), 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing), 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing), 15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 4.0 (SUSE Manager Proxy), 4.0 (SUSE Manager Retail Branch Server), 4.0 (SUSE Manager Server), 15 SP3 (SUSE Linux Enterprise Workstation Extension), 12 SP2-LTSS-ERICSSON (Suse Linux Enterprise Server), 12 SP2-LTSS-SAP (Suse Linux Enterprise Server), 12 SP2-LTSS-ERICSSON (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS-SAP (SUSE Linux Enterprise Server for SAP Applications), до 78.10 (Thunderbird), до 88 (Firefox), до 78.10 (Firefox ESR), 16.04 ESM (Ubuntu), 15 SP3 (SUSE Linux Enterprise Module for Desktop Applications), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7 Не указана
  • Canonical Ltd. Ubuntu 18.04 LTS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Не указана
  • Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP5 Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-BCL Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Не указана
  • ООО «Ред Софт» РЕД ОС 7.2 Муром Не указана (запись в едином реестре российских программ №3751)
  • Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3-ESPOS Не указана
  • Novell Inc. Suse Linux Enterprise Server 15-LTSS Не указана
  • Canonical Ltd. Ubuntu 20.04 LTS Не указана
  • Canonical Ltd. Ubuntu 20.10 Не указана
  • Novell Inc. OpenSUSE Leap 15.2 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-LTSS Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4-ESPOS Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS Не указана
  • Canonical Ltd. Ubuntu 21.04 Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Не указана
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-ERICSSON Не указана
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS-SAP Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-ERICSSON Не указана
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS-SAP Не указана
  • Canonical Ltd. Ubuntu 16.04 ESM Не указана
Тип ошибки Незащищенные наследуемые разрешения, Неправильное сохранение разрешений
Идентификатор типа ошибки CWE-277, CWE-281
Класс уязвимости Уязвимость кода
Дата выявления 19.04.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-15/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-16/

Для РЕД ОС:
https://redos.red-soft.ru/updatesec/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23998

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-23998/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23998

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4926-1

Для ОС ОН «Стрелец»:

https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются