Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02196

Опубликовано: 16 апр. 2021
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость почтового клиента Thunderbird связана c некорректной проверкой криптографической подписи OpenPGP. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации

Вендор

The CentOS Project
Red Hat Inc.
Novell Inc.
Mozilla Corp.
АО «Концерн ВНИИНС»
АО «ИВК»

Наименование ПО

CentOS
Red Hat Enterprise Linux
SUSE Linux Enterprise Workstation Extension
OpenSUSE Leap
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Thunderbird
ОС ОН «Стрелец»
Альт 8 СП

Версия ПО

7 (CentOS)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
15 SP2 (SUSE Linux Enterprise Workstation Extension)
15.2 (OpenSUSE Leap)
8.1 Extended Update Support (Red Hat Enterprise Linux)
8.2 Extended Update Support (Red Hat Enterprise Linux)
15 SP3 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
до 78.9.1 (Thunderbird)
15 SP3 (SUSE Linux Enterprise Workstation Extension)
1.0 (ОС ОН «Стрелец»)
- (Альт 8 СП)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

The CentOS Project CentOS 7
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.2
Red Hat Inc. Red Hat Enterprise Linux 8.1 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-13/#CVE-2021-23992
Для CentOS:
https://lists.centos.org/pipermail/centos-announce/2021-April/048303.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-23992/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-23992
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 25%
0.00087
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-23992

CVSS3: 4.3
ubuntu
больше 4 лет назад

Thunderbird did not check if the user ID associated with an OpenPGP key has a valid self signature. An attacker may create a crafted version of an OpenPGP key, by either replacing the original user ID, or by adding another user ID. If Thunderbird imports and accepts the crafted key, the Thunderbird user may falsely conclude that the false user ID belongs to the correspondent. This vulnerability affects Thunderbird < 78.9.1.

redhat логотип

CVE-2021-23992

CVSS3: 4.3
redhat
почти 5 лет назад

Thunderbird did not check if the user ID associated with an OpenPGP key has a valid self signature. An attacker may create a crafted version of an OpenPGP key, by either replacing the original user ID, or by adding another user ID. If Thunderbird imports and accepts the crafted key, the Thunderbird user may falsely conclude that the false user ID belongs to the correspondent. This vulnerability affects Thunderbird < 78.9.1.

nvd логотип

CVE-2021-23992

CVSS3: 4.3
nvd
больше 4 лет назад

Thunderbird did not check if the user ID associated with an OpenPGP key has a valid self signature. An attacker may create a crafted version of an OpenPGP key, by either replacing the original user ID, or by adding another user ID. If Thunderbird imports and accepts the crafted key, the Thunderbird user may falsely conclude that the false user ID belongs to the correspondent. This vulnerability affects Thunderbird < 78.9.1.

debian логотип

CVE-2021-23992

CVSS3: 4.3
debian
больше 4 лет назад

Thunderbird did not check if the user ID associated with an OpenPGP ke ...

github логотип

GHSA-x89c-f42w-ch2g

github
больше 3 лет назад

Thunderbird did not check if the user ID associated with an OpenPGP key has a valid self signature. An attacker may create a crafted version of an OpenPGP key, by either replacing the original user ID, or by adding another user ID. If Thunderbird imports and accepts the crafted key, the Thunderbird user may falsely conclude that the false user ID belongs to the correspondent. This vulnerability affects Thunderbird < 78.9.1.

EPSS

Процентиль: 25%
0.00087
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2