BDU:2022-02988

Опубликовано: 03 мая 2022

Источник: fstec

CVSS3: 7.5

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость веб-браузеров Firefox, Firefox ESR и почтового клиента Thunderbird связана с выходом операции за границы буфера в памяти при обработке содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданной веб-страницы

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Canonical Ltd.

Novell Inc.

ООО «Ред Софт»

АО «ИВК»

Mozilla Corp.

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Ubuntu

OpenSUSE Leap

Suse Linux Enterprise Server

РЕД ОС

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Desktop

Альт 8 СП

Firefox

Thunderbird

Firefox ESR

ОСОН ОСнова Оnyx

ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)

9 (Debian GNU/Linux)

18.04 LTS (Ubuntu)

8 (Red Hat Enterprise Linux)

10 (Debian GNU/Linux)

20.04 LTS (Ubuntu)

8.2 Extended Update Support (Red Hat Enterprise Linux)

15.3 (OpenSUSE Leap)

11 (Debian GNU/Linux)

21.10 (Ubuntu)

15 SP2 LTSS (Suse Linux Enterprise Server)

8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Extended Update Support (Red Hat Enterprise Linux)

7.3 (РЕД ОС)

15.4 (OpenSUSE Leap)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

до 100 (Firefox)

до 91.9 (Thunderbird)

9 (Red Hat Enterprise Linux)

до 91.9 (Firefox ESR)

до 2.5 (ОСОН ОСнова Оnyx)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Canonical Ltd. Ubuntu 18.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Canonical Ltd. Ubuntu 20.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support

Novell Inc. OpenSUSE Leap 15.3

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Canonical Ltd. Ubuntu 21.10

Novell Inc. Suse Linux Enterprise Server 15 SP2 LTSS

Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для продуктов Mozilla:

https://www.mozilla.org/en-US/security/advisories/mfsa2022-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2022-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2022-18/

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2022-29917

Для Ubuntu:

https://ubuntu.com/security/CVE-2022-29917

https://ubuntu.com/security/notices/USN-5411-1

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-29917

Для программных продуктов Novell Inc.:

https://www.suse.com/es-es/security/cve/CVE-2022-29917.html

Для РЕД ОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Альт 8 СП:

https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:

Обновление программного обеспечения firefox-esr до версии 91.10.0esr+repack-1~deb10u1.osnova1

Для ОСОН Основа:

Обновление программного обеспечения thunderbird до версии 1:91.10.0+repack-1~deb10u1.osnova1

Для ОС ОН «Стрелец»:

Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets

Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 41%

0.00184

Низкий

7.5 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ROS-20220518-01

redos

около 3 лет назад

Множественные уязвимости Mozilla Firefox

ROS-20220518-02

redos

около 3 лет назад

Множественные уязвимости Thunderbird

CVE-2022-29917

CVSS3: 9.8

ubuntu

больше 2 лет назад

Mozilla developers Andrew McCreight, Gabriele Svelto, Tom Ritter and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 99 and Firefox ESR 91.8. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Thunderbird < 91.9, Firefox ESR < 91.9, and Firefox < 100.

CVE-2022-29917

CVSS3: 9.8

redhat

около 3 лет назад

CVE-2022-29917

CVSS3: 9.8

nvd

больше 2 лет назад

EPSS

Процентиль: 41%

0.00184

Низкий

7.5 High

CVSS3

7.6 High

CVSS2