Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02076

Опубликовано: 26 янв. 2021
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость почтового клиента Thunderbird связана с недостаточной проверкой импортированных ключей OpenPGP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, отправлять произвольные зашифрованные сообщения

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Novell Inc.
Mozilla Corp.
АО «Концерн ВНИИНС»
АО «ИВК»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
OpenSUSE Leap
Thunderbird
ОС ОН «Стрелец»
Альт 8 СП

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
до 78.9.1 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
- (Альт 8 СП)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.2 Муром
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-13/#CVE-2021-23993
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23993
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-23993/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23993
Для РЕД ОС:
Установить обновления безопасности для пакетов firefox и thunderbird ( https://redos.red-soft.ru/updatesec )
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00051
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-23993

CVSS3: 6.5
ubuntu
больше 4 лет назад

An attacker may perform a DoS attack to prevent a user from sending encrypted email to a correspondent. If an attacker creates a crafted OpenPGP key with a subkey that has an invalid self signature, and the Thunderbird user imports the crafted key, then Thunderbird may try to use the invalid subkey, but the RNP library rejects it from being used, causing encryption to fail. This vulnerability affects Thunderbird < 78.9.1.

redhat логотип

CVE-2021-23993

CVSS3: 6.5
redhat
почти 5 лет назад

An attacker may perform a DoS attack to prevent a user from sending encrypted email to a correspondent. If an attacker creates a crafted OpenPGP key with a subkey that has an invalid self signature, and the Thunderbird user imports the crafted key, then Thunderbird may try to use the invalid subkey, but the RNP library rejects it from being used, causing encryption to fail. This vulnerability affects Thunderbird < 78.9.1.

nvd логотип

CVE-2021-23993

CVSS3: 6.5
nvd
больше 4 лет назад

An attacker may perform a DoS attack to prevent a user from sending encrypted email to a correspondent. If an attacker creates a crafted OpenPGP key with a subkey that has an invalid self signature, and the Thunderbird user imports the crafted key, then Thunderbird may try to use the invalid subkey, but the RNP library rejects it from being used, causing encryption to fail. This vulnerability affects Thunderbird < 78.9.1.

debian логотип

CVE-2021-23993

CVSS3: 6.5
debian
больше 4 лет назад

An attacker may perform a DoS attack to prevent a user from sending en ...

github логотип

GHSA-3pj2-rvj5-6646

CVSS3: 6.5
github
больше 3 лет назад

An attacker may perform a DoS attack to prevent a user from sending encrypted email to a correspondent. If an attacker creates a crafted OpenPGP key with a subkey that has an invalid self signature, and the Thunderbird user imports the crafted key, then Thunderbird may try to use the invalid subkey, but the RNP library rejects it from being used, causing encryption to fail. This vulnerability affects Thunderbird < 78.9.1.

EPSS

Процентиль: 16%
0.00051
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2