ГлавнаяБаза уязвимостей БДУ → BDU:2022-03097
10критическая

BDU:2022-03097 (CVE-2022-1802)

Уязвимость метода Array браузеров Mozilla Firefox и Mozilla Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю выполнить произвольный JavaScript-код в привилегированном контексте
Опубликовано: 2022-05-23
Описание

Уязвимость метода Array браузеров Mozilla Firefox и Mozilla Firefox ESR и почтового клиента Thunderbird связана с ошибками при генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код в привилегированном контексте

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Server (15-LTSS)Ubuntu (20.04 LTS)Suse Linux Enterprise Server (12 SP4-ESPOS)Red Hat Enterprise Linux (8.2 Extended Update Support)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Ubuntu (21.10)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам;
- контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений;
- запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе;
- использование альтернативных веб-браузеров;
- применение систем обнаружения и предотвращения вторжений.

Информация от разработчика:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1802

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/




Для ОСОН Основа:

обновление программного обеспечения firefox-esr до версии 91.10.0esr+repack-1~deb10u1.osnova1


обновление программного обеспечения thunderbird до версии 1:91.10.0+repack-1~deb10u1.osnova1

https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/

Для UBLinux:
https://security.ublinux.ru/AVG-40

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-1802
https://ubuntu.com/security/notices/USN-5434-1
https://ubuntu.com/security/notices/USN-5435-1

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1802

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1802.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС ОН «Стрелец»:
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/https://security-tracker.debian.org/tracker/CVE-2022-1802http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://goslinux.fssp.gov.ru/2726972/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://www.zerodayinitiative.com/advisories/ZDI-22-799/https://security.ublinux.ru/AVG-40https://ubuntu.com/security/CVE-2022-1802
Проверьте безопасность своего сайта и почты → Полная проверка домена