BDU:2020-04788

Опубликовано: 01 окт. 2020

Источник: fstec

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость компонента WebGL браузера Firefox связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Novell Inc.

Mozilla Corp.

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

SUSE Linux Enterprise Server for SAP Applications

SUSE OpenStack Cloud

Suse Linux Enterprise Server

SUSE Enterprise Storage

HPE Helion Openstack

Firefox

SUSE Linux Enterprise Point of Service

ОСОН ОСнова Оnyx

ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

18.04 LTS (Ubuntu)

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

7 (SUSE OpenStack Cloud)

12 SP2 LTSS (Suse Linux Enterprise Server)

5 (SUSE Enterprise Storage)

12 SP2-BCL (Suse Linux Enterprise Server)

11 SP4-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

8 (SUSE OpenStack Cloud)

12 SP3-BCL (Suse Linux Enterprise Server)

8 (Debian GNU/Linux)

Crowbar 8 (SUSE OpenStack Cloud)

10 (Debian GNU/Linux)

8 (HPE Helion Openstack)

9 (SUSE OpenStack Cloud)

Crowbar 9 (SUSE OpenStack Cloud)

20.04 LTS (Ubuntu)

12 SP4 LTSS (Suse Linux Enterprise Server)

до 81 (Firefox)

11 SP3 (SUSE Linux Enterprise Point of Service)

Image Server 12 (SUSE Linux Enterprise Point of Service)

до 2.4.2 (ОСОН ОСнова Оnyx)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Canonical Ltd. Ubuntu 18.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Canonical Ltd. Ubuntu 20.04 LTS

Novell Inc. Suse Linux Enterprise Server 12 SP4 LTSS

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использвание рекомендаций:

Для firefox:

https://www.mozilla.org/en-US/security/advisories/mfsa2020-42/

Для Ubuntu:

https://ubuntu.com/security/notices/USN-4546-1

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2020-15675/

Для Astra Linux:

Обновление программного обеспечения (пакета firefox) до 81.0 или более поздней версии

Или использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для Debian:

Обновление программного обеспечения (пакета firefox) до 81.0 или более поздней версии

Для ОСОН Основа:

Обновление программного обеспечения firefox-esr до версии 91.5.0esr+repack-1~deb10u1.osnova1

Для ОС ОН «Стрелец»:

Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-15675
CVE

EPSS

Процентиль: 61%

0.00404

Низкий

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2020-15675

CVSS3: 8.8

ubuntu

больше 5 лет назад

When processing surfaces, the lifetime may outlive a persistent buffer leading to memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 81.

CVE-2020-15675

CVSS3: 8.8

redhat

больше 5 лет назад

When processing surfaces, the lifetime may outlive a persistent buffer leading to memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 81.

CVE-2020-15675

CVSS3: 8.8

nvd

больше 5 лет назад

When processing surfaces, the lifetime may outlive a persistent buffer leading to memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 81.

CVE-2020-15675

CVSS3: 8.8

debian

больше 5 лет назад

When processing surfaces, the lifetime may outlive a persistent buffer ...

GHSA-fhj6-r884-6jpv

github

больше 3 лет назад

When processing surfaces, the lifetime may outlive a persistent buffer leading to memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 81.

EPSS

Процентиль: 61%

0.00404

Низкий

6.8 Medium

CVSS2