ГлавнаяБаза уязвимостей БДУ → BDU:2022-05497
7.6высокая

BDU:2022-05497 (CVE-2022-38473)

Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2022-09-02
Описание

Уязвимость реализации технологии XSLT (eXtensible Stylesheet Language Transformations) почтового клиента Thunderbird, браузеров Firefox и Firefox ESR связана с неверным ограничением визуализируемых слоев или фреймов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
CentOS (7)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (8.2 Extended Update Support)Debian GNU/Linux (11)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПRed Hat Enterprise Linux (9)Thunderbird (до 91.13)Firefox (до 104)Firefox ESR (от 102 до 102.2)Firefox ESR (до 91.13)Thunderbird (от 102 до 102.2)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.6)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для продуктов Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/
https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-38473

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-38473

Для CentOS 7:
https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6169-important-centos-7-thunderbird-18-01-42
https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6179-important-centos-7-firefox-18-00-44

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.4.0+repack-1~deb10u1.osnova1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения firefox-esr до версии 102.4.0esr+repack-1~deb10u1.osnova1

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС ОН «Стрелец»:
Обновление программного обеспечения firefox-esr до версии 91.13.0esr+repack-1~deb10u1.osnova1.strelets
Обновление программного обеспечения thunderbird до версии 1:91.13.0+repack-1~deb10u1.osnova1.strelets

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2022-38473https://www.mozilla.org/en-US/security/advisories/mfsa2022-33/https://www.mozilla.org/en-US/security/advisories/mfsa2022-34/https://www.mozilla.org/en-US/security/advisories/mfsa2022-35/https://www.mozilla.org/en-US/security/advisories/mfsa2022-36/https://www.mozilla.org/en-US/security/advisories/mfsa2022-37/https://security-tracker.debian.org/tracker/CVE-2022-38473https://linuxsecurity.com/advisories/centos/centos-cesa-2022-6169-important-centos-7-thunderbird-18-01-42
Проверьте безопасность своего сайта и почты → Полная проверка домена