ГлавнаяБаза уязвимостей БДУ → BDU:2024-04733
7.6высокая

BDU:2024-04733 (CVE-2024-4367)

Уязвимость библиотеки PDF.js связанная с доступом к ресурсу через несовместимые типы, позволяющая нарушителю выполнить произвольный JavaScript-код
Опубликовано: 2024-06-21
Описание

Уязвимость библиотеки PDF.js связана с доступом к ресурсу через несовместимые типы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Debian GNU/Linux (10)openSUSE TumbleweedUbuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)SUSE Enterprise Storage (7.1)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (8.6 Extended Update Support)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (8.2 Advanced Update Support)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)
Способ устранения

Использование рекомендаций:
Для PDF.js:
Обновление пакета до версии 4.2.67 или выше:
https://github.com/advisories/GHSA-wgrm-67xf-hhpq
https://mozilla.github.io/pdf.js/getting_started/#download

Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-21/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-22/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-23/

Для Ubuntu:
http://ubuntu.com/security/notices/USN-6782-1
http://ubuntu.com/security/notices/USN-6779-2
http://ubuntu.com/security/notices/USN-6779-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-4367

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-4367.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-4367

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения thunderbird до версии 1:115.12.0+repack-1~deb10u1.osnova1
Обновление программного обеспечения firefox-esr до версии 115.12.0esr+repack-1~deb10u1.osnova1

Для ОС Astra Linux:
- обновить пакет firefox до 127.0.2+build1-0ubuntu0.20.04.1~mt1+ci202407030910+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет thunderbird до 1:115.12.0+build3-0ubuntu0.20.04.1+ci202406211519+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет thunderbird до 1:115.12.1+build1-0ubuntu0.20.04.1~mt1+ci202406211521+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет firefox до 128.0+build2-0ubuntu0.20.04.1+ci202407111318+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет firefox до 131.0.2+build1-0ubuntu0.20.04.1~mt1+ci202410111226+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет thunderbird до 1:115.16.0+build2-0ubuntu0.20.04.1~mt1+ci202410141704+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов ООО «Новые облачные технологии».:
Обновление программного обеспечения до версии 1.9 или выше

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://www.mozilla.org/en-US/security/advisories/mfsa2024-21/https://www.mozilla.org/en-US/security/advisories/mfsa2024-22/https://www.mozilla.org/en-US/security/advisories/mfsa2024-23/https://bugzilla.mozilla.org/show_bug.cgi?id=1893645http://ubuntu.com/security/notices/USN-6782-1http://ubuntu.com/security/notices/USN-6779-2http://ubuntu.com/security/notices/USN-6779-1https://security-tracker.debian.org/tracker/CVE-2024-4367
Проверьте безопасность своего сайта и почты → Полная проверка домена