Обновления безопасности
Назад к п.2
2.1082 Множественные уязвимости thunderbird (CVE-2023-0547 CVE-2023-1945 CVE-2023-29479 CVE-2023-29531 CVE-2023-29532 CVE-2023-29533 CVE-2023-29535 CVE-2023-29536 CVE-2023-29539 CVE-2023-29541 CVE-2023-29542 CVE-2023-29545 CVE-2023-29548 CVE-2023-29550)
Идентификатор бюллетеня | ROS-20230505-01 |
Идентификатор CVE | CVE-2023-0547 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Средний(6.4) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(5.4) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с ошибкой при обработке статуса отзыва сертификатов получателей S/mime. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации. |
Идентификатор CVE | CVE-2023-1945 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с граничной ошибкой в Safe Browsing API. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специально созданный веб-сайт, заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе. |
Идентификатор CVE | CVE-2023-29479 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:N/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Средний(5.0) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(4.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с недостаточной проверкой введенных пользователем данных в библиотеке Ribose RNP при анализе пакетов PKESK/SKESK. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить приложению специально созданные сообщения OpenPGP и выполнить атаку типа «отказ в обслуживании» (DoS). |
Идентификатор CVE | CVE-2023-29531 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с граничной ошибкой при обработке ненадежных входных данных в WebGL API. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву посетить специально созданный веб-сайт, инициировать запись вне границ и выполнить произвольный код в целевой системе. |
Идентификатор CVE | CVE-2023-29532 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:L/AC:L/Au:S/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Средний(4.3) |
Базовый вектор уязвимости CVSS 3.0 | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(5.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с тем, как служба обслуживания Mozilla обрабатывает блокировки записи при загрузке обновлений с SMB-сервера. Эксплуатация уязвимости может позволить нарушителю применить неподписанный файл обновления, указав службе файл обновления на вредоносном SMB-сервере. |
Идентификатор CVE | CVE-2023-29533 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:N/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Средний(6.4) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(5.4) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с некорректной обработкой пользовательских данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, скрыть полноэкранное уведомление, используя комбинацию window.open, полноэкранных запросов, назначений window.name и вызовов setInterval. |
Идентификатор CVE | CVE-2023-29535 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с ошибкой границ во время сжатия сборщиком мусора. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специально созданный веб-сайт, заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе. |
Идентификатор CVE | CVE-2023-29536 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с недопустимой свободной операцией из кода JavaScript. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, заставить жертву посетить специально созданную веб-страницу, вызвать повреждение памяти и выполнить произвольный код. |
Идентификатор CVE | CVE-2023-29539 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с неправильной обработкой директивы имени файла в заголовке Content-Disposition, что приводит к усечению имени файла, если оно содержит символ NULL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, злоупотреблять таким поведением и заставить жертву загрузить вредоносный файл. |
Идентификатор CVE | CVE-2023-29541 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:H/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Средний(5.1) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(5.0) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с неправильной обработкой имен файлов, оканчивающихся на .desktop. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву загрузить вредоносный файл и запустить его в системе. |
Идентификатор CVE | CVE-2023-29542 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с неправильной обработкой новой строки в имени файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти механизмы безопасности расширений файлов, которые заменяют опасные расширения файлов, такие как .lnk, на .download, и потенциально поставить под угрозу уязвимую систему. |
Идентификатор CVE | CVE-2023-29545 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с чрезмерным выводом данных приложением при загрузке файлов через «Сохранить ссылку как» в Windows с предлагаемыми именами файлов, содержащими имена переменных среды. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальной информации в системе. |
Идентификатор CVE | CVE-2023-29548 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с использованием неправильной инструкции понижения в компиляторе ARM64 Ion. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации. |
Идентификатор CVE | CVE-2023-29550 |
Идентификатор БДУ ФСТЭК России | |
Базовый вектор уязвимости CVSS 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Уровень опасности уязвимости (CVSS 2.0) | Высокий(7.5) |
Базовый вектор уязвимости CVSS 3.0 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Уровень опасности уязвимости (CVSS 3.0) | Средний(6.3) |
Описание уязвимости | Уязвимость почтового клиента Mozilla Thunderbird связана с ошибкой границ при анализе содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специально созданный веб-сайт, обманом заставить жертву открыть его, вызвать повреждение памяти и выполнить произвольный код в целевой системе. |
Наименование уязвимого пакета: | thunderbird |
Версия уязвимого пакета младше: | 102.10.0-1 |
Пакет обновления: | thunderbird-0:102.10.0-1.el7.3.x86_64 |
Версия ОС | 7.3 |
Архитектура ОС | х86_64 |
Возможные меры по устранению уязвимости |
|
Дата публикации бюллетеня | 05.05.2023 |
Дата последнего изменения: 05.05.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.