ГлавнаяБаза уязвимостей БДУ → BDU:2019-03415
9.4критическая

BDU:2019-03415 (CVE-2018-12387)

Уязвимость реализации метода Array.prototype.push JIT-компилятора веб-браузеров Firefox и Firefox ESR, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-10-01
Описание

Уязвимость реализации метода Array.prototype.push JIT-компилятора веб-браузеров Firefox и Firefox ESR связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Desktop Applications (15)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)SUSE Linux Enterprise Module for Desktop Applications (15 SP1)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE CaaS PlatformSuse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP1-LTSS)
Способ устранения

Использование рекомендаций:

Для программных продуктов Mozilla Corp.:

https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/



Для Ubuntu:

https://usn.ubuntu.com/3778-1/



Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-12387/



Для Debian GNU/Linux:

https://www.debian.org/security/2018/dsa-4310



Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2018-12387

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет firefox-esr до 68.12.0esr-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/https://usn.ubuntu.com/3778-1/https://www.suse.com/security/cve/CVE-2018-12387/https://www.debian.org/security/2018/dsa-4310https://access.redhat.com/security/cve/cve-2018-12387https://nvd.nist.gov/vuln/detail/CVE-2018-12387https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена