Обновления безопасности
Назад к п.2
2.1529 Множественные уязвимости в Mozilla Thunderbird Mozilla Firefox (CVE-2021-23953-CVE-2021-23965, CVE-2021-23991-CVE-2021-23993)
1. Описание уязвимости:
Уязвимость позволяет удаленному злоумышленнику получить доступ к потенциально конфиденциальной информации. Уязвимость позволяет удаленному злоумышленнику провести атаку с использованием спуфинга. Уязвимость существует из-за утечки информации из разных источников при обработке файлов PDF. Удаленный злоумышленник может создать специально созданный файл PDF, обманом заставить жертву открыть его и получить доступ к конфиденциальной информации с помощью перенаправленных запросов PDF, когда указанная информация подается в виде фрагментированных данных. Уязвимость существует из-за неправильной обработки предоставленных пользователем данных при проверке того, имеет ли идентификатор пользователя, связанный с ключом OpenPGP, действительную самоподпись. Злоумышленник может создать созданную версию ключа OpenPGP, либо заменив исходный идентификатор пользователя, либо добавив другой идентификатор пользователя. Если Thunderbird импортирует и принимает созданный ключ, пользователь Thunderbird может ошибочно заключить, что ложный идентификатор пользователя принадлежит корреспонденту.Идентификатор Банка данных угроз безопасности информации ФСТЭК России: BDU:2021-02090, BDU:2021-02089, BDU:2021-02088, BDU:2021-02087, BDU:2021-02086, BDU:2021-02085, BDU:2021-02084, BDU:2021-02083, BDU:2021-02082, BDU:2021-02081, BDU:2021-02080, BDU:2021-02079, BDU:2021-02078, BDU:2021-02077, BDU:2021-020762. Возможные меры по устранению уязвимости
Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон (особое внимание уделив PDF файлам и файлам, подписанным ключом OpenPGP), пока не будет применено исправление или отказать полностью от использования браузера firefox и почтового приложения thunderbird. Или - установить обновления безопасности для пакетов: firefox thunderbirdУстановка обновлений возможна следующими способами:а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
- скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/thunderbird-78.9.1-0.1.el7.x86_64.rpm
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/firefox-78.9.0-0.1.el7.x86_64.rpm
Проверить целостность и подлинность пакета по инструкцииУстановить скачанный пакет(ы) командой:# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Дата последнего изменения: 08.09.2021
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.