ГлавнаяБаза уязвимостей БДУ → BDU:2023-02923
7.6высокая

BDU:2023-02923 (CVE-2023-1999)

Уязвимость функции EncodeAlphaInternal() библиотеки libwebp для кодирования и декодирования изображений в формате WebP браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-05-31
Описание

Уязвимость функции EncodeAlphaInternal() библиотеки libwebp для кодирования и декодирования изображений в формате WebP браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с повторным освобождением памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (8.2 Telecommunications Update Service)Red Hat Enterprise Linux (8.2 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Extended Update Support)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (8.2 Advanced Update Support)Thunderbird (до 102.10)Firefox ESR (до 102.10)Firefox (до 112)Focus (до 112)libwebp (0.6.1)libwebp (1.0.3)libwebp (1.1.0)libwebp (1.2.4)libwebp (1.3.0)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:
Для libwebp:
https://github.com/webmproject/libwebp/commit/a486d800b60d0af4cc0836bf7ed8f21e12974129
https://chromium-review.googlesource.com/q/Ic258381ee26c8c16bc211d157c8153831c8c6910

Для продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/
https://hg.mozilla.org/releases/mozilla-esr102/rev/53b805c752ff23080e100eda2b3b4280d4370b2e

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-1999

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-1999

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1
Обновление программного обеспечения libwebp до версии 0.6.1+repack-2+deb10u2.osnova1

Для Astra Linux Special Edition 4.7:
- обновить пакет firefox до 113.0.2+build1-0ubuntu0.20.04.1+ci202306011642+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет libwebp до 0.6.1-2+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет firefox до 113.0.2+build1-0ubuntu0.20.04.1+ci202306011642+astra12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет libwebp до 0.6.1-2+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Astra Linux 1.6 «Смоленск»:
- обновить пакет libwebp до 0.5.2-1+deb9u3+ci202309301552 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://github.com/webmproject/libwebp/commit/a486d800b60d0af4cc0836bf7ed8f21e12974129https://chromium-review.googlesource.com/q/Ic258381ee26c8c16bc211d157c8153831c8c6910https://www.mozilla.org/en-US/security/advisories/mfsa2023-13/https://www.mozilla.org/en-US/security/advisories/mfsa2023-14/https://www.mozilla.org/en-US/security/advisories/mfsa2023-15/https://hg.mozilla.org/releases/mozilla-esr102/rev/53b805c752ff23080e100eda2b3b4280d4370b2ehttps://access.redhat.com/security/cve/CVE-2023-1999https://security-tracker.debian.org/tracker/CVE-2023-1999
Проверьте безопасность своего сайта и почты → Полная проверка домена