ГлавнаяБаза уязвимостей БДУ → BDU:2023-07235
10критическая

BDU:2023-07235 (CVE-2023-5176)

Уязвимость почтового клиента Thunderbird и браузеров Firefox, Firefox ESR, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-10-28
Описание

Уязвимость почтового клиента Thunderbird и браузеров Firefox, Firefox ESR связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)OpenSUSE Leap (15.5)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Debian GNU/Linux (10)openSUSE TumbleweedUbuntu (20.04 LTS)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)Debian GNU/Linux (11)Debian GNU/Linux (12)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Enterprise Storage (7.1)SUSE Linux Enterprise Module for Desktop Applications (15 SP4)
Способ устранения

Использование рекомендаций:
Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2023-41/

https://www.mozilla.org/security/advisories/mfsa2023-43/

https://www.mozilla.org/security/advisories/mfsa2023-42

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-5176

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-5176

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6405-1
https://ubuntu.com/security/notices/USN-6404-1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-5176.html

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux 1.6 «Смоленск»:
- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
- обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения thunderbird до версии 1:115.5.0+repack-1~deb10u1.osnova1
Обновление программного обеспечения firefox-esr до версии 115.5.0esr+repack-1~deb10u1.osnova1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2371

Для Astra Linux Special Edition 4.7:
- обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
- обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.rapid7.com/db/vulnerabilities/ubuntu-cve-2023-5176/https://bugzilla.mozilla.org/buglist.cgi?bug_id=1836353%2C1842674%2C1843824%2C1843962%2C1848890%2C1850180%2C1850983%2C1851195https://www.debian.org/security/2023/dsa-5513https://www.mozilla.org/security/advisories/mfsa2023-42/https://lists.debian.org/debian-lts-announce/2023/09/msg00034.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2023-5176https://www.rapid7.com/db/vulnerabilities/redhat_linux-cve-2023-5176/https://www.debian.org/security/2023/dsa-5506
Проверьте безопасность своего сайта и почты → Полная проверка домена