Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2014-1266

Опубликовано: 22 фев. 2014
Источник: nvd
CVSS3: 7.4
CVSS2: 5.8
EPSS Средний

Описание

The SSLVerifySignedServerKeyExchange function in libsecurity_ssl/lib/sslKeyExchange.c in the Secure Transport feature in the Data Security component in Apple iOS 6.x before 6.1.6 and 7.x before 7.0.6, Apple TV 6.x before 6.0.2, and Apple OS X 10.9.x before 10.9.2 does not check the signature in a TLS Server Key Exchange message, which allows man-in-the-middle attackers to spoof SSL servers by (1) using an arbitrary private key for the signing step or (2) omitting the signing step.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
Версия от 6.0 (включая) до 6.1.6 (исключая)
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
Версия от 7.0 (включая) до 7.0.6 (исключая)
cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*
Версия от 10.9 (включая) до 10.9.2 (исключая)
cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:*
Версия от 6.0 (включая) до 6.0.2 (исключая)

EPSS

Процентиль: 97%
0.33986
Средний

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-295

Связанные уязвимости

github логотип

GHSA-4j69-27g2-fgcw

CVSS3: 7.4
github
больше 3 лет назад

The SSLVerifySignedServerKeyExchange function in libsecurity_ssl/lib/sslKeyExchange.c in the Secure Transport feature in the Data Security component in Apple iOS 6.x before 6.1.6 and 7.x before 7.0.6, Apple TV 6.x before 6.0.2, and Apple OS X 10.9.x before 10.9.2 does not check the signature in a TLS Server Key Exchange message, which allows man-in-the-middle attackers to spoof SSL servers by (1) using an arbitrary private key for the signing step or (2) omitting the signing step.

EPSS

Процентиль: 97%
0.33986
Средний

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-295