BDU:2019-03414

Опубликовано: 02 окт. 2018

Источник: fstec

CVSS3: 8.1

CVSS2: 9.4

EPSS Средний

Описание

Уязвимость веб-браузеров Firefox, Firefox ESR связана с ошибками преобразования типов данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Canonical Ltd.

Red Hat Inc.

Сообщество свободного программного обеспечения

Novell Inc.

ООО «РусБИТех-Астра»

Mozilla Corp.

Наименование ПО

Ubuntu

Red Hat Enterprise Linux

Debian GNU/Linux

OpenSUSE Leap

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE OpenStack Cloud

Suse Linux Enterprise Server

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Point of Sale

SUSE CaaS Platform

SUSE Linux Enterprise Workstation Extension

SUSE Package Hub for SUSE Linux Enterprise

Firefox

Firefox ESR

Astra Linux Special Edition для «Эльбрус»

Версия ПО

14.04 LTS (Ubuntu)

6 (Red Hat Enterprise Linux)

7 (Red Hat Enterprise Linux)

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

42.3 (OpenSUSE Leap)

18.04 LTS (Ubuntu)

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

7 (SUSE OpenStack Cloud)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

15.0 (OpenSUSE Leap)

15 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-ESPOS (Suse Linux Enterprise Server)

- (SUSE CaaS Platform)

12-LTSS (Suse Linux Enterprise Server)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12-LTSS (SUSE Linux Enterprise Server for SAP Applications)

15 (SUSE Linux Enterprise Workstation Extension)

15 SP1 (SUSE Linux Enterprise Workstation Extension)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 (SUSE Package Hub for SUSE Linux Enterprise)

до 62.0.3 (Firefox)

до 60.2.2 (Firefox ESR)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 6

Red Hat Inc. Red Hat Enterprise Linux 7

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Novell Inc. OpenSUSE Leap 42.3

Canonical Ltd. Ubuntu 18.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. OpenSUSE Leap 15.0

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Mozilla Corp.:

https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/

Для Ubuntu:

https://usn.ubuntu.com/3778-1/

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-12386/

Для Debian GNU/Linux:

https://www.debian.org/security/2018/dsa-4310

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2018-12386

Для Astra Linux:

https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:

обновить пакет firefox-esr до 68.12.0esr-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-12386
CVE

EPSS

Процентиль: 97%

0.41656

Средний

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

CVE-2018-12386

CVSS3: 8.1

ubuntu

почти 7 лет назад

A vulnerability in register allocation in JavaScript can lead to type confusion, allowing for an arbitrary read and write. This leads to remote code execution inside the sandboxed content process when triggered. This vulnerability affects Firefox ESR < 60.2.2 and Firefox < 62.0.3.

CVE-2018-12386

CVSS3: 8.8

redhat

почти 7 лет назад

CVE-2018-12386

CVSS3: 8.1

nvd

почти 7 лет назад

CVE-2018-12386

CVSS3: 8.1

debian

почти 7 лет назад

A vulnerability in register allocation in JavaScript can lead to type ...

GHSA-5vgc-hmw3-287j

CVSS3: 8.1

github

около 3 лет назад

EPSS

Процентиль: 97%

0.41656

Средний

8.1 High

CVSS3

9.4 Critical

CVSS2