Информация по безопасности / 2021 / Информация о безопасности -- DSA-4945-1 webkit2gtk

Рекомендация Debian по безопасности

DSA-4945-1 webkit2gtk -- обновление безопасности

Дата сообщения:

28.07.2021

Затронутые пакеты:

webkit2gtk

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2021-21775, CVE-2021-21779, CVE-2021-30663, CVE-2021-30665, CVE-2021-30689, CVE-2021-30720, CVE-2021-30734, CVE-2021-30744, CVE-2021-30749, CVE-2021-30758, CVE-2021-30795, CVE-2021-30797, CVE-2021-30799.

Более подробная информация:

В веб-движке webkit2gtk были обнаружены следующие уязвимости:

• CVE-2021-21775

  Марсин Товальский обнаружил, что специально сформированная веб-страница может приводить к утечке информации и повреждению содержимого памяти. Для использования этой уязвимости, необходимо заставить жертву посетить вредоносную страницу.

• CVE-2021-21779

  Марсин Товальский обнаружил, что специально сформированная веб-страница может приводить к утечке информации и повреждению содержимого памяти. Для использования этой уязвимости, необходимо заставить жертву посетить вредоносную страницу.

• CVE-2021-30663

  Анонимный исследователь обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2021-30665

  yangkang обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода. Сотрудникам Apple известно об этом сообщении об ошибке, что данная проблема может активно использоваться злоумышенниками.

• CVE-2021-30689

  Анонимный исследователь обнаружил, что обработка специально сформированного веб-содержимого может приводить к межсайтовому скриптингу.

• CVE-2021-30720

  Давид Шуц обнаружил, что вредоносный веб-сайт может получить доступ к ограниченным портам на произвольных серверах.

• CVE-2021-30734

  Джек Дэйтс обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2021-30744

  Дэн Хайт обнаружил, что обработка специально сформированного веб-содержимого может приводить к межсайтовому скриптингу.

• CVE-2021-30749

  Анонимный исследователь обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2021-30758

  Кристоф Гуттандин обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2021-30795

  Сергей Глазунов обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

• CVE-2021-30797

  Иван Фратрик обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению кода.

• CVE-2021-30799

  Сергей Глазунов обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.32.3-1~deb10u1.

Рекомендуется обновить пакеты webkit2gtk.

С подробным статусом поддержки безопасности webkit2gtk можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/webkit2gtk