Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00154

Опубликовано: 07 янв. 2025
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданной веб-страницы

Вендор

Red Hat Inc.
Novell Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Mozilla Corp.
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
openSUSE Tumbleweed
Ubuntu
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
АЛЬТ СП 10
SUSE Liberty Linux
Suse Linux Enterprise Desktop
OpenSUSE Leap
Firefox
Firefox ESR
Thunderbird
Thunderbird ESR
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
8.4 Telecommunications Update Service (Red Hat Enterprise Linux)
8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
- (АЛЬТ СП 10)
9 (SUSE Liberty Linux)
9.2 Extended Update Support (Red Hat Enterprise Linux)
8 (SUSE Liberty Linux)
15 SP4-LTSS (Suse Linux Enterprise Server)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15.6 (OpenSUSE Leap)
7 Extended Lifecycle Support (Red Hat Enterprise Linux)
12 SP5-LTSS (Suse Linux Enterprise Server)
12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)
до 134 (Firefox)
до 115.19 (Firefox ESR)
до 128.6 (Firefox ESR)
до 134 (Thunderbird)
до 128.6 (Thunderbird ESR)
15 SP5-LTSS (Suse Linux Enterprise Server)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
АО «ИВК» АЛЬТ СП 10 -
Novell Inc. SUSE Liberty Linux 9
Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support
Novell Inc. SUSE Liberty Linux 8
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
Red Hat Inc. Red Hat Enterprise Linux 7 Extended Lifecycle Support
Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2025-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-05/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2025-0238
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-0238
Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2025-0238
https://ubuntu.com/security/notices/USN-7191-1
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-0238.html
Компенсирующие меры:
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Обновление программного обеспечения thunderbird до версии 1:128.6.0esr+repack-1~deb11u1.osnova2u1
Обновление программного обеспечения firefox-esr до версии 128.6.0esr+repack-1~deb11u3.osnova2u1
Для ОС Astra Linux:
- обновить пакет firefox до 140.0.4+build1-0ubuntu0.25.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет thunderbird до 1:128.12.0+build1-0ubuntu0.20.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.00394
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250203-07

CVSS3: 6.5
redos
9 месяцев назад

Множественные уязвимости firefox

ubuntu логотип

CVE-2025-0238

CVSS3: 5.3
ubuntu
10 месяцев назад

Assuming a controlled failed memory allocation, an attacker could have caused a use-after-free, leading to a potentially exploitable crash. This vulnerability affects Firefox < 134, Firefox ESR < 128.6, Firefox ESR < 115.19, Thunderbird < 134, and Thunderbird < 128.6.

redhat логотип

CVE-2025-0238

CVSS3: 6.5
redhat
10 месяцев назад

Assuming a controlled failed memory allocation, an attacker could have caused a use-after-free, leading to a potentially exploitable crash. This vulnerability affects Firefox < 134, Firefox ESR < 128.6, Firefox ESR < 115.19, Thunderbird < 134, and Thunderbird < 128.6.

nvd логотип

CVE-2025-0238

CVSS3: 5.3
nvd
10 месяцев назад

Assuming a controlled failed memory allocation, an attacker could have caused a use-after-free, leading to a potentially exploitable crash. This vulnerability affects Firefox < 134, Firefox ESR < 128.6, Firefox ESR < 115.19, Thunderbird < 134, and Thunderbird < 128.6.

debian логотип

CVE-2025-0238

CVSS3: 5.3
debian
10 месяцев назад

Assuming a controlled failed memory allocation, an attacker could have ...

EPSS

Процентиль: 60%
0.00394
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2