9VSA21-00384-01 CSIRT comparte mitigaciones obtenidas por Red Hat
CSIRT de Gobierno comparte la información sobre vulnerabilidades entregada por Red Hat y que afectan a los paquetes Red Hat de Mozilla Thunderbird y a Red Hat Enterprise Linux.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte la información sobre vulnerabilidades entregada por Red Hat y que afectan a los paquetes Red Hat de Mozilla Thunderbird y a Red Hat Enterprise Linux.
Este informe incluye las medidas de mitigación, consistentes en instalar las actualizaciones de los productos afectados.
Vulnerabilidades
CVE-2020-15685
CVE-2020-26976
CVE-2021-23953
CVE-2021-23954
CVE-2021-23960
CVE-2021-23964
Impacto
Las vulnerabilidades consideradas de alto riesgo son las siguientes:
CVE-2021-23954: Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. Se produce por un error de confusión de tipo de archivo al usar nuevos operadores lógicos en una instrucción switch de Java. Un atacante remoto puede crear una página web, engañar a la víctima para que la abra, detonar un error de confusión de tipo de archivo y ejecutar código arbitrario en el sistema objetivo.
CVE-2021-23960: Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. Se produce por haber validación insuficiente de las entradas hechas por los usuarios al realizar recolección de basura en variables JavaScript re-declaradas. Un atacante remoto puede crear una página web, engañar a la víctima para que la abra y ejecutar código arbitrario en el sistema objetivo.
CVE-2021-23964: Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. Se produce por un error de límites de la memoria al procesar contenido HTML. Un atacante remoto puede crear una página web, engañar a la víctima para que la abra y ejecutar código arbitrario en el sistema objetivo.
Productos afectados
Mozilla Thunderbird (Red Hat package): versiones 78.3.1-1.el8_1, a la 78.6.1-1.el8_1.
Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.1
Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.1
Red Hat Enterprise Linux Server - Update Services para SAP 8.1
Red Hat Enterprise Linux Server (para IBM Power LE) - Update Services para SAP 8.1.
Mitigación
Instalar las respectivas actualizaciones desde el sitio del proveedor.
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-54/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15685
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26976
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23953
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23954
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23960
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23964
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00384-01