Описание
Уязвимость почтового клиента Thunderbird связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью специально созданного сообщения электронной почты
Вендор
Red Hat Inc.
Canonical Ltd.
Novell Inc.
Сообщество свободного программного обеспечения
АО «ИВК»
Mozilla Corp.
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
Ubuntu
OpenSUSE Leap
SUSE Linux Enterprise Server for SAP Applications
Debian GNU/Linux
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
Альт 8 СП
Thunderbird
ОС ОН «Стрелец»
Версия ПО
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
18.04 LTS (Ubuntu)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
19.10 (Ubuntu)
8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
15.2 (OpenSUSE Leap)
16.04 ESM (Ubuntu)
15.3 (OpenSUSE Leap)
15 SP1 (Suse Linux Enterprise Server)
11 (Debian GNU/Linux)
15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (Suse Linux Enterprise Desktop)
до 68.5 (Thunderbird)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 19.10
Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
Novell Inc. OpenSUSE Leap 15.2
Canonical Ltd. Ubuntu 16.04 ESM
Novell Inc. OpenSUSE Leap 15.3
Novell Inc. Suse Linux Enterprise Server 15 SP1
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP1
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
Для программных продуктов Mozilla Firefox:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-07/
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-6793
https://ubuntu.com/security/notices/USN-4328-1
https://ubuntu.com/security/notices/USN-4335-1
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-6793.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-6793
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-6793
Для ОС ОН «Стрелец»:
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 73%
0.00803
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.5
ubuntu
больше 5 лет назад
When processing an email message with an ill-formed envelope, Thunderbird could read data from a random memory location. This vulnerability affects Thunderbird < 68.5.
CVSS3: 6.1
redhat
больше 5 лет назад
When processing an email message with an ill-formed envelope, Thunderbird could read data from a random memory location. This vulnerability affects Thunderbird < 68.5.
CVSS3: 6.5
nvd
больше 5 лет назад
When processing an email message with an ill-formed envelope, Thunderbird could read data from a random memory location. This vulnerability affects Thunderbird < 68.5.
CVSS3: 6.5
debian
больше 5 лет назад
When processing an email message with an ill-formed envelope, Thunderb ...
github
больше 3 лет назад
When processing an email message with an ill-formed envelope, Thunderbird could read data from a random memory location. This vulnerability affects Thunderbird < 68.5.
EPSS
Процентиль: 73%
0.00803
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2