Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2009-2408

Опубликовано: 30 июл. 2009
Источник: nvd
CVSS3: 5.9
CVSS2: 6.8
EPSS Низкий

Уязвимость некорректной обработки символа '\0' в доменном имени в поле общего имени (CN) X.509 сертификата в Mozilla Network Security Services, Firefox, Thunderbird и SeaMonkey

Описание

В Mozilla Network Security Services (NSS) до версии 3.12.3, Firefox до версии 3.0.13, Thunderbird до версии 2.0.0.23 и SeaMonkey до версии 1.1.18 некорректно обрабатывается символ '\0' в доменном имени в поле общего имени (CN) X.509 сертификата. Это позволяет злоумышленникам путем атаки "человек посередине" (man-in-the-middle) подменять произвольные SSL-серверы с помощью специально сформированного сертификата, выданного законным центром сертификации.

Затронутые версии ПО

  • Mozilla Network Security Services (NSS) до версии 3.12.3
  • Firefox до версии 3.0.13
  • Thunderbird до версии 2.0.0.23
  • SeaMonkey до версии 1.1.18

Тип уязвимости

Подмена SSL-серверов (спуфинг) с использованием сертификатов

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 3.0.13 (исключая)
cpe:2.3:a:mozilla:network_security_services:*:*:*:*:*:*:*:*
Версия до 3.12.3 (исключая)
cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*
Версия до 1.1.18 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 2.0.0.23 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:opensuse:opensuse:*:*:*:*:*:*:*:*
Версия от 10.3 (включая) до 11.1 (включая)
cpe:2.3:o:suse:linux_enterprise:10.0:-:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise:11.0:-:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:9:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:8.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:9.04:*:*:*:*:*:*:*

EPSS

Процентиль: 82%
0.01747
Низкий

5.9 Medium

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-295

Связанные уязвимости

ubuntu логотип

CVE-2009-2408

CVSS3: 5.9
ubuntu
почти 16 лет назад

Mozilla Network Security Services (NSS) before 3.12.3, Firefox before 3.0.13, Thunderbird before 2.0.0.23, and SeaMonkey before 1.1.18 do not properly handle a '\0' character in a domain name in the subject's Common Name (CN) field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority. NOTE: this was originally reported for Firefox before 3.5.

redhat логотип

CVE-2009-2408

redhat
почти 16 лет назад

Mozilla Network Security Services (NSS) before 3.12.3, Firefox before 3.0.13, Thunderbird before 2.0.0.23, and SeaMonkey before 1.1.18 do not properly handle a '\0' character in a domain name in the subject's Common Name (CN) field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority. NOTE: this was originally reported for Firefox before 3.5.

debian логотип

CVE-2009-2408

CVSS3: 5.9
debian
почти 16 лет назад

Mozilla Network Security Services (NSS) before 3.12.3, Firefox before ...

github логотип

GHSA-pm7c-vg9h-jxxc

CVSS3: 5.9
github
около 3 лет назад

Mozilla Network Security Services (NSS) before 3.12.3, Firefox before 3.0.13, Thunderbird before 2.0.0.23, and SeaMonkey before 1.1.18 do not properly handle a '\0' character in a domain name in the subject's Common Name (CN) field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority. NOTE: this was originally reported for Firefox before 3.5.

oracle-oval логотип

ELSA-2009-1186

oracle-oval
почти 16 лет назад

ELSA-2009-1186: nspr and nss security, bug fix, and enhancement update (CRITICAL)

EPSS

Процентиль: 82%
0.01747
Низкий

5.9 Medium

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-295