Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04197

Опубликовано: 22 сент. 2016
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, подделывать обновления надстроек в результате использования X сертификат сервера для addons.mozilla.org, подписанный произвольным встроенным центром сертификации

Вендор

Red Hat Inc.
Novell Inc.
Mozilla Corp.
ООО «Инновационные Технологии в Бизнесе»

Наименование ПО

Red Hat Enterprise Linux
Suse Linux Enterprise Desktop
Suse Linux Enterprise Server
OpenSUSE Leap
Firefox ESR
Firefox
Thunderbird
EMIAS OS

Версия ПО

5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
15.0 (OpenSUSE Leap)
12 SP5 (Suse Linux Enterprise Server)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
до 45.4 (Firefox ESR)
до 49 (Firefox)
до 45.4 (Thunderbird)
1.0 (EMIAS OS)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. Suse Linux Enterprise Desktop 12 SP2
Novell Inc. Suse Linux Enterprise Server 12 SP2
ООО «Инновационные Технологии в Бизнесе» EMIAS OS 1.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Для программных продуктов Mozilla Corp.:
https://www.mozilla.org/security/advisories/mfsa2016-86/
https://www.mozilla.org/security/advisories/mfsa2016-88/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-5284.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2016-5284
Для EMIAS OS:
Обновление программного пакета до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 63%
0.00462
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-5284

CVSS3: 7.4
ubuntu
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

redhat логотип

CVE-2016-5284

CVSS3: 7.4
redhat
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

nvd логотип

CVE-2016-5284

CVSS3: 7.4
nvd
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

debian логотип

CVE-2016-5284

CVSS3: 7.4
debian
почти 9 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunder ...

github логотип

GHSA-2fqh-hxv3-hqmx

CVSS3: 7.4
github
больше 3 лет назад

Mozilla Firefox before 49.0, Firefox ESR 45.x before 45.4, and Thunderbird < 45.4 rely on unintended expiration dates for Preloaded Public Key Pinning, which allows man-in-the-middle attackers to spoof add-on updates by leveraging possession of an X.509 server certificate for addons.mozilla.org signed by an arbitrary built-in Certification Authority.

EPSS

Процентиль: 63%
0.00462
Низкий

7.4 High

CVSS3

7.1 High

CVSS2