Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01560

Опубликовано: 14 мар. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с выходом операции за границы буфера в памяти при обработке HTML-содержимого. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
Mozilla Corp.
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
SUSE Linux Enterprise Software Development Kit
Debian GNU/Linux
SUSE OpenStack Cloud
SUSE OpenStack Cloud Crowbar
openSUSE Tumbleweed
SUSE CaaS Platform
SUSE Linux Enterprise High Performance Computing
РЕД ОС
Альт 8 СП
Firefox
Firefox ESR
Thunderbird
ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
10 (Debian GNU/Linux)
9 (SUSE OpenStack Cloud)
9 (SUSE OpenStack Cloud Crowbar)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
12 SP4-ESPOS (Suse Linux Enterprise Server)
4.0 (SUSE CaaS Platform)
12 SP4-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
до 111 (Firefox)
до 102.9 (Firefox ESR)
до 102.9 (Thunderbird)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS
Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-10/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-11/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-28176
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-28176
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5954-1
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-28176.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения firefox-esr до версии 102.13.0esr+repack-1~deb10u1.osnova1
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1
Для ОС Astra Linux Special Edition 1.7:
- обновить пакет firefox до 111.0.1+build2-0ubuntu0.18.04.1+ci202304041739+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
- обновить пакет thunderbird до 1:102.9.1+build1-0ubuntu1+ci202304061128+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 36%
0.00146
Низкий

7.5 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20230420-04

CVSS3: 7.5
redos
около 2 лет назад

Множественные уязвимости thunderbird

redos логотип

ROS-20230420-03

CVSS3: 7.5
redos
около 2 лет назад

Множественные уязвимости firefox

ubuntu логотип

CVE-2023-28176

CVSS3: 8.8
ubuntu
около 2 лет назад

Memory safety bugs present in Firefox 110 and Firefox ESR 102.8. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 111, Firefox ESR < 102.9, and Thunderbird < 102.9.

redhat логотип

CVE-2023-28176

CVSS3: 8.8
redhat
больше 2 лет назад

Memory safety bugs present in Firefox 110 and Firefox ESR 102.8. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 111, Firefox ESR < 102.9, and Thunderbird < 102.9.

nvd логотип

CVE-2023-28176

CVSS3: 8.8
nvd
около 2 лет назад

Memory safety bugs present in Firefox 110 and Firefox ESR 102.8. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 111, Firefox ESR < 102.9, and Thunderbird < 102.9.

EPSS

Процентиль: 36%
0.00146
Низкий

7.5 High

CVSS3

7.6 High

CVSS2