BDU:2025-00072

Опубликовано: 25 нояб. 2024

Источник: fstec

CVSS3: 9.1

CVSS2: 9.4

EPSS Низкий

Описание

Уязвимость функции NSC_DeriveKey браузера Mozilla Firefox и почтового клиента Thunderbird связана с ошибкой разыменования указателей при обработке параметра phKey. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

ООО «РусБИТех-Астра»

АО «ИВК»

Mozilla Corp.

Наименование ПО

Astra Linux Special Edition

Astra Linux Common Edition

АЛЬТ СП 10

Firefox

Thunderbird

Версия ПО

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

1.6 «Смоленск» (Astra Linux Common Edition)

- (АЛЬТ СП 10)

1.8 (Astra Linux Special Edition)

до 133 (Firefox)

до 133 (Thunderbird)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»

АО «ИВК» АЛЬТ СП 10 -

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://www.mozilla.org/security/advisories/mfsa2024-63/

https://www.mozilla.org/security/advisories/mfsa2024-67/

Для ОС Astra Linux:

обновить пакет firefox до 133.0.3+build1-0ubuntu0.20.04.1~mt1+ci202412261552+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:

обновить пакет firefox до 135.0+build2-0ubuntu0.20.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:

обновить пакет firefox до 145.0.2+build1-0ubuntu0.25.04.1astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 41%

0.00189

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

CVE-2024-11705

CVSS3: 9.1

ubuntu

около 1 года назад

`NSC_DeriveKey` inadvertently assumed that the `phKey` parameter is always non-NULL. When it was passed as NULL, a segmentation fault (SEGV) occurred, leading to crashes. This behavior conflicted with the PKCS#11 v3.0 specification, which allows `phKey` to be NULL for certain mechanisms. This vulnerability affects Firefox < 133 and Thunderbird < 133.

CVE-2024-11705

CVSS3: 5.3

redhat

около 1 года назад

CVE-2024-11705

CVSS3: 9.1

nvd

около 1 года назад

CVE-2024-11705

CVSS3: 9.1

debian

около 1 года назад

`NSC_DeriveKey` inadvertently assumed that the `phKey` parameter is al ...

GHSA-h43c-gg33-qj9g

CVSS3: 9.1

github

около 1 года назад

EPSS

Процентиль: 41%

0.00189

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2