9.4критическая
BDU:2019-03415 (CVE-2018-12387)
Уязвимость реализации метода Array.prototype.push JIT-компилятора веб-браузеров Firefox и Firefox ESR, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-10-01
Описание
Уязвимость реализации метода Array.prototype.push JIT-компилятора веб-браузеров Firefox и Firefox ESR связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Desktop Applications (15)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)SUSE Linux Enterprise Module for Desktop Applications (15 SP1)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE CaaS PlatformSuse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP1-LTSS)
Способ устранения
Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/
Для Ubuntu:
https://usn.ubuntu.com/3778-1/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-12387/
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4310
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-12387
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет firefox-esr до 68.12.0esr-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Оценка CVSS
| Балл | 9.4 — критическая опасность |
Источники и патчи