Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04642

Опубликовано: 09 июл. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции формирования открытых ключей p256-ECDH браузеров Firefox, Firefox ESR и почтового клиента Thunderbird связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
Mozilla Corp.
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Red Hat Enterprise Linux
Debian GNU/Linux
OpenSUSE Leap
SUSE Package Hub for SUSE Linux Enterprise
Firefox
Firefox ESR
Thunderbird
ОС ОН «Стрелец»

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
8 (Debian GNU/Linux)
12 (SUSE Package Hub for SUSE Linux Enterprise)
до 67 (Firefox)
до 60.7 (Firefox ESR)
до 60.7 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Firefox:
Обновление программного обеспечения до 68.0-1 или более поздней версии
Для Firefox ESR
Обновление программного обеспечения до 60.8.0esr-1 или более поздней версии
Для Thunderbird:
Обновление программного обеспечения до 1:60.8.0-1 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета Firefox) до 68.0-1 или более поздней версии, программного обеспечения (пакета Firefox ESR) до 60.8.0esr-1~deb8u1 или более поздней версии, программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета Firefox) до 68.0-1 или более поздней версии, программного обеспечения (пакета Firefox ESR) до 60.8.0esr-1~deb8u1 или более поздней версии, программного обеспечения (пакета Thunderbird) до 1:60.8.0-1~deb8u1 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:4190
https://access.redhat.com/errata/RHSA-2019:1951
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00055.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00058.html
https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения nss до версии 2:3.26.2-1.1+deb9u5
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 71%
0.00684
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-11729

CVSS3: 7.5
ubuntu
больше 6 лет назад

Empty or malformed p256-ECDH public keys may trigger a segmentation fault due values being improperly sanitized before being copied into memory and used. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

redhat логотип

CVE-2019-11729

CVSS3: 7.5
redhat
больше 6 лет назад

Empty or malformed p256-ECDH public keys may trigger a segmentation fault due values being improperly sanitized before being copied into memory and used. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

nvd логотип

CVE-2019-11729

CVSS3: 7.5
nvd
больше 6 лет назад

Empty or malformed p256-ECDH public keys may trigger a segmentation fault due values being improperly sanitized before being copied into memory and used. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

debian логотип

CVE-2019-11729

CVSS3: 7.5
debian
больше 6 лет назад

Empty or malformed p256-ECDH public keys may trigger a segmentation fa ...

github логотип

GHSA-x7fr-mw8m-fh4w

CVSS3: 7.5
github
больше 3 лет назад

Empty or malformed p256-ECDH public keys may trigger a segmentation fault due values being improperly sanitized before being copied into memory and used. This vulnerability affects Firefox ESR < 60.8, Firefox < 68, and Thunderbird < 60.8.

EPSS

Процентиль: 71%
0.00684
Низкий

7.5 High

CVSS3

7.8 High

CVSS2