Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02077

Опубликовано: 26 янв. 2021
Источник: fstec
CVSS3: 4.2
CVSS2: 4
EPSS Низкий

Описание

Уязвимость почтового клиента Thunderbird связана c некорректной проверкой криптографической подписи OpenPGP. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
ООО «Ред Софт»
Mozilla Corp.
АО «Концерн ВНИИНС»
АО «ИВК»

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
SUSE Linux Enterprise Workstation Extension
РЕД ОС
OpenSUSE Leap
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Thunderbird
ОС ОН «Стрелец»
Альт 8 СП

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
12 SP3 (SUSE Linux Enterprise Workstation Extension)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
12 SP2 (SUSE Linux Enterprise Workstation Extension)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
до 78.9.1 (Thunderbird)
1.0 (ОС ОН «Стрелец»)
- (Альт 8 СП)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.2 Муром
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-13/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-23991
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-23991/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23991
Для РЕД ОС:
Установить обновления безопасности для пакетов firefox и thunderbird ( https://redos.red-soft.ru/updatesec )
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00204
Низкий

4.2 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-23991

CVSS3: 6.8
ubuntu
больше 4 лет назад

If a Thunderbird user has previously imported Alice's OpenPGP key, and Alice has extended the validity period of her key, but Alice's updated key has not yet been imported, an attacker may send an email containing a crafted version of Alice's key with an invalid subkey, Thunderbird might subsequently attempt to use the invalid subkey, and will fail to send encrypted email to Alice. This vulnerability affects Thunderbird < 78.9.1.

redhat логотип

CVE-2021-23991

CVSS3: 6.8
redhat
почти 5 лет назад

If a Thunderbird user has previously imported Alice's OpenPGP key, and Alice has extended the validity period of her key, but Alice's updated key has not yet been imported, an attacker may send an email containing a crafted version of Alice's key with an invalid subkey, Thunderbird might subsequently attempt to use the invalid subkey, and will fail to send encrypted email to Alice. This vulnerability affects Thunderbird < 78.9.1.

nvd логотип

CVE-2021-23991

CVSS3: 6.8
nvd
больше 4 лет назад

If a Thunderbird user has previously imported Alice's OpenPGP key, and Alice has extended the validity period of her key, but Alice's updated key has not yet been imported, an attacker may send an email containing a crafted version of Alice's key with an invalid subkey, Thunderbird might subsequently attempt to use the invalid subkey, and will fail to send encrypted email to Alice. This vulnerability affects Thunderbird < 78.9.1.

debian логотип

CVE-2021-23991

CVSS3: 6.8
debian
больше 4 лет назад

If a Thunderbird user has previously imported Alice's OpenPGP key, and ...

github логотип

GHSA-x5j6-p8w8-5r65

github
больше 3 лет назад

If a Thunderbird user has previously imported Alice's OpenPGP key, and Alice has extended the validity period of her key, but Alice's updated key has not yet been imported, an attacker may send an email containing a crafted version of Alice's key with an invalid subkey, Thunderbird might subsequently attempt to use the invalid subkey, and will fail to send encrypted email to Alice. This vulnerability affects Thunderbird < 78.9.1.

EPSS

Процентиль: 42%
0.00204
Низкий

4.2 Medium

CVSS3

4 Medium

CVSS2