BDU:2023-04025
АО "НППКТ", Mozilla Corp., Novell Inc., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», Сооб SUSE Manager Retail Branch Server, Red Hat Enterprise Linux, SUSE OpenStack Cloud Crowbar, SUSE Linu
2023-07-13
Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с ошибкой использования освобожденной памяти в оболочках с перекрестным отделением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств антивирусной защиты с функцией контроля доступа к веб-ресурсам; - контролируемый доступ в сеть Интернет – регламентация разрешенных сетевых ресурсов и соединений; - запуск веб-браузера от имени пользователя с минимальными возможными привилегиями в операционной системе; - использование альтернативных веб-браузеров; - применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для Ubuntu: https://ubuntu.com/security/notices/USN-6201-1 https://ubuntu.com/security/notices/USN-6214-1
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-37202.html
Для программных продуктов Mozilla Corp.: https://www.mozilla.org/security/advisories/mfsa2023-22/ https://www.mozilla.org/security/advisories/mfsa2023-23/ https://www.mozilla.org/security/advisories/mfsa2023-24/
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-37202
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-37202
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения firefox-esr до версии 102.13.0esr+repack-1~deb10u1.osnova1 Обновление программного обеспечения thunderbird до версии 1:102.13.1+repack-1~deb10u1.osnova1
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 4.7: - обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47 - обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Astra Linux Special Edition 1.7: - обновить пакет firefox до 118.0.1+build1-0ubuntu0.20.04.1~mt1+ci202309291803+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17 - обновить пакет thunderbird до 1:115.3.1+build1-0ubuntu1+ci202310041156+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Astra Linux 1.6 «Смоленск»: - обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16 - обновить пакет firefox до 120.0+build2-0ubuntu0.20.04.1+ci202311281348+astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16