Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01270

Опубликовано: 15 фев. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird связана с неправильным ограничением операций в пределах буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, допустить произвольную запись в память с помощью неправильной обработки атрибутов PKCK 12 Safe Bag

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Mozilla Corp.
АО "НППКТ"
Project Harbor
Oracle Corp.

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
Debian GNU/Linux
РЕД ОС
Альт 8 СП
РОСА Кобальт
Thunderbird
Firefox
Firefox ESR
ОСОН ОСнова Оnyx
harbor
Oracle Exadata

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
до 102.8 (Thunderbird)
до 110 (Firefox)
до 102.8 (Firefox ESR)
до 2.8 (ОСОН ОСнова Оnyx)
2.7.0 (harbor)
до 21.2.23.0.0 (Oracle Exadata)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-05/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-06/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-07/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-0767
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-0767
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС РОСА "КОБАЛЬТ":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2165
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения firefox-esr до версии 102.13.0esr+repack-1~deb10u1.osnova1
Обновление программного обеспечения nss до версии 2:3.61+repack-1+deb11u3.osnova3
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1
Для программных продуктов Oracle Corp.:
Обновление до версии 21.2.23.0.0
Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Для ОС Astra Linux:
- обновить пакет firefox до 111.0.1+build2-0ubuntu0.18.04.1+ci202304041739+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет nss до 2:3.87.1-1.astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет thunderbird до 1:102.8.0+build2-0ubuntu1astra1+ci202302211317+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет firefox до 111.0.1+build2-0ubuntu0.18.04.1+ci202304041739+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет nss до 2:3.87.1-1.astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.00239
Низкий

7.5 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-0767

CVSS3: 8.8
ubuntu
около 2 лет назад

An attacker could construct a PKCS 12 cert bundle in such a way that could allow for arbitrary memory writes via PKCS 12 Safe Bag attributes being mishandled. This vulnerability affects Firefox < 110, Thunderbird < 102.8, and Firefox ESR < 102.8.

redhat логотип

CVE-2023-0767

CVSS3: 8.8
redhat
больше 2 лет назад

An attacker could construct a PKCS 12 cert bundle in such a way that could allow for arbitrary memory writes via PKCS 12 Safe Bag attributes being mishandled. This vulnerability affects Firefox < 110, Thunderbird < 102.8, and Firefox ESR < 102.8.

nvd логотип

CVE-2023-0767

CVSS3: 8.8
nvd
около 2 лет назад

An attacker could construct a PKCS 12 cert bundle in such a way that could allow for arbitrary memory writes via PKCS 12 Safe Bag attributes being mishandled. This vulnerability affects Firefox < 110, Thunderbird < 102.8, and Firefox ESR < 102.8.

debian логотип

CVE-2023-0767

CVSS3: 8.8
debian
около 2 лет назад

An attacker could construct a PKCS 12 cert bundle in such a way that c ...

suse-cvrf логотип

SUSE-SU-2023:0468-1

suse-cvrf
больше 2 лет назад

Security update for mozilla-nss

EPSS

Процентиль: 47%
0.00239
Низкий

7.5 High

CVSS3

7.6 High

CVSS2