Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-02923

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2023-02923
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2023-02923

CVSS: 7.5
23.02.2023

Уязвимость функции EncodeAlphaInternal() библиотеки libwebp для кодирования и декодирования изображений в формате WebP браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции EncodeAlphaInternal() библиотеки libwebp для кодирования и декодирования изображений в формате WebP браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с повторным освобождением памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 23.02.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Манипулирование структурами данных
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для libwebp:
https://github.com/webmproject/libwebp/commit/a486d800b60d0af4cc0836bf7ed8f21e12974129
https://chromium-review.googlesource.com/q/Ic258381ee26c8c16bc211d157c8153831c8c6910

Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/
https://hg.mozilla.org/releases/mozilla-esr102/rev/53b805c752ff23080e100eda2b3b4280d4370b2e

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-1999

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-1999

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1
Обновление программного обеспечения libwebp до версии 0.6.1+repack-2+deb10u2.osnova1

Для Astra Linux Special Edition 4.7:
- обновить пакет firefox до 113.0.2+build1-0ubuntu0.20.04.1+ci202306011642+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет libwebp до 0.6.1-2+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет firefox до 113.0.2+build1-0ubuntu0.20.04.1+ci202306011642+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет libwebp до 0.6.1-2+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет libwebp до 0.5.2-1+deb9u3+ci202309301552 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-119 Выполнение операций за пределами буфера памяти
CWE-415 Двойное освобождение

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-1999 Use after free in libwebp

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.6 HIGH 2.0 AV:N/AC:H/Au:N/C:C/I:C/A:C
7.5 HIGH 3.0 AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-1999
Вендор:
  • Red Hat Inc.
  • ООО «РусБИТех-Астра»
  • Сообщество свободного программного обеспечения
  • АО «ИВК»
  • Mozilla Corp.
  • Google Inc
  • АО "НППКТ"
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
  • Сетевое средство
  • Сетевое программное средство
Наименование ПО:
  • Red Hat Enterprise Linux
  • Astra Linux Special Edition
  • Debian GNU/Linux
  • Альт 8 СП
  • Thunderbird
  • Firefox ESR
  • Firefox
  • Focus
  • libwebp
  • ОСОН ОСнова Оnyx
  • АЛЬТ СП 10
Версия ПО:
  • 7 (Red Hat Enterprise Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.4 Extended Update Support (Red Hat Enterprise Linux)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • 4.7 (Astra Linux Special Edition)
  • 8.2 Telecommunications Update Service (Red Hat Enterprise Linux)
  • 8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.6 Extended Update Support (Red Hat Enterprise Linux)
  • 9.0 Extended Update Support (Red Hat Enterprise Linux)
  • 8.2 Advanced Update Support (Red Hat Enterprise Linux)
  • до 102.10 (Thunderbird)
  • до 102.10 (Firefox ESR)
  • до 112 (Firefox)
  • до 112 (Focus)
  • 0.6.1 (libwebp)
  • 1.0.3 (libwebp)
  • 1.1.0 (libwebp)
  • 1.2.4 (libwebp)
  • 1.3.0 (libwebp)
  • до 2.8 (ОСОН ОСнова Оnyx)
  • - (АЛЬТ СП 10)
ОС и аппаратные платформы:
  • Red Hat Enterprise Linux (7)
  • Android (-)
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • Red Hat Enterprise Linux (8)
  • Debian GNU/Linux (10)
  • Debian GNU/Linux (11)
  • Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)
  • Red Hat Enterprise Linux (8.4 Extended Update Support)
  • Astra Linux Special Edition (1.7)
  • Альт 8 СП (-)
  • Red Hat Enterprise Linux (9)
  • Astra Linux Special Edition (4.7)
  • Red Hat Enterprise Linux (8.2 Telecommunications Update Service)
  • Red Hat Enterprise Linux (8.2 Update Services for SAP Solutions)
  • Red Hat Enterprise Linux (8.6 Extended Update Support)
  • Red Hat Enterprise Linux (9.0 Extended Update Support)
  • Red Hat Enterprise Linux (8.2 Advanced Update Support)
  • ОСОН ОСнова Оnyx (до 2.8)
  • АЛЬТ СП 10 (-)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.