Описание
Уязвимость механизма индексирования JavaScript-объектов браузеров Mozilla Firefox, Mozilla Firefox ESR и почтового клиента Thunderbird связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
ООО «Ред Софт»
ФССП России
Mozilla Corp.
АО "НППКТ"
ООО «Юбитех»
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
OpenSUSE Leap
РЕД ОС
ОС ТД АИС ФССП России
Suse Linux Enterprise Desktop
Firefox
Firefox ESR
Thunderbird
ОСОН ОСнова Оnyx
UBLinux
ОС ОН «Стрелец»
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
12 SP3-ESPOS (Suse Linux Enterprise Server)
15-LTSS (Suse Linux Enterprise Server)
20.04 LTS (Ubuntu)
12 SP4-ESPOS (Suse Linux Enterprise Server)
8.2 Extended Update Support (Red Hat Enterprise Linux)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Extended Update Support (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
до 100.0.2 (Firefox)
до 91.9.1 (Firefox ESR)
до 100.3 (Firefox)
до 91.9.1 (Thunderbird)
15 SP2-LTSS (Suse Linux Enterprise Server)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
до 2204 (UBLinux)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10
Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
ООО «Юбитех» UBLinux до 2204
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.
Информация от разработчика:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1529
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН Основа:
обновление программного обеспечения firefox-esr до версии 91.10.0esr+repack-1~deb10u1.osnova1
обновление программного обеспечения thunderbird до версии 1:91.10.0+repack-1~deb10u1.osnova1
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Для UBLinux:
https://security.ublinux.ru/AVG-40
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-1529
https://ubuntu.com/security/notices/USN-5434-1
https://ubuntu.com/security/notices/USN-5435-1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1529
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1529.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Для ОС ОН «Стрелец»:
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- MFSA
8.8 High
CVSS3
10 Critical
CVSS2
Связанные уязвимости
8.8 High
CVSS3
10 Critical
CVSS2