CVE-2014-1491

Опубликовано: 06 фев. 2014

Источник: nvd

CVSS2: 4.3

EPSS Низкий

Уязвимость обхода криптографических механизмов защиты в Mozilla Network Security Services через недостаточные ограничения в обмене ключами Диффи-Хеллмана

Описание

Mozilla Network Security Services (NSS) до версии 3.15.4, используемая в Mozilla Firefox до версии 27.0, Firefox ESR 24.x до версии 24.3, Thunderbird до версии 24.3, SeaMonkey до версии 2.24 и других продуктах, некорректно ограничивает публичные значения в обмене ключами Диффи-Хеллмана. Это упрощает злоумышленникам обход криптографических механизмов защиты в обработке тикетов через использование определенного значения.

Затронутые версии ПО

Mozilla Network Security Services (NSS) до 3.15.4
Mozilla Firefox до 27.0
Mozilla Firefox ESR 24.x до 24.3
Mozilla Thunderbird до 24.3
Mozilla SeaMonkey до 2.24

Тип уязвимости

Обход криптографических механизмов защиты

Ссылки

http://hg.mozilla.org/projects/nss/rev/12c42006aed8
Patch
Vendor Advisory
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10761
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2014-February/127966.html
Third Party Advisory
http://lists.fedoraproject.org/pipermail/package-announce/2014-February/129218.html
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00004.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00005.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00010.html
Mailing List
Third Party Advisory
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00017.html
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2014/Dec/23
Not Applicable
http://secunia.com/advisories/56858
Third Party Advisory
http://secunia.com/advisories/56888
Third Party Advisory
http://secunia.com/advisories/56922
Third Party Advisory
http://www.debian.org/security/2014/dsa-2858
Third Party Advisory
http://www.debian.org/security/2014/dsa-2994
Third Party Advisory
http://www.mozilla.org/security/announce/2014/mfsa2014-12.html
Third Party Advisory
Vendor Advisory
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
Third Party Advisory
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
Third Party Advisory
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
Third Party Advisory
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Third Party Advisory
http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*

Версия до 27.0 (исключая)

cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*

Версия до 24.3 (исключая)

cpe:2.3:a:mozilla:network_security_services:*:*:*:*:*:*:*:*

Версия до 3.15.4 (исключая)

cpe:2.3:a:mozilla:seamonkey:*:*:*:*:*:*:*:*

Версия до 2.24 (исключая)

cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*

Версия до 24.3.0 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:oracle:enterprise_manager_ops_center:*:*:*:*:*:*:*:*

Версия до 12.1.4 (исключая)

cpe:2.3:a:oracle:enterprise_manager_ops_center:12.2.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:enterprise_manager_ops_center:12.2.1:*:*:*:*:*:*:*

cpe:2.3:a:oracle:enterprise_manager_ops_center:12.3.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:vm_server:3.2:*:*:*:*:*:x86:*

Конфигурация 3

Одно из

cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:o:opensuse:opensuse:11.4:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:12.3:*:*:*:*:*:*:*

cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_desktop:11:sp3:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:*:*:*

cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:vmware:*:*

cpe:2.3:o:suse:linux_enterprise_software_development_kit:11:sp3:*:*:*:*:*:*

Конфигурация 5

Одно из

cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

Конфигурация 6

Одно из

cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:*

cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:*

EPSS

Процентиль: 69%

0.00607

Низкий

4.3 Medium

CVSS2

Дефекты

CWE-326

Связанные уязвимости

CVE-2014-1491

ubuntu

больше 11 лет назад

Mozilla Network Security Services (NSS) before 3.15.4, as used in Mozilla Firefox before 27.0, Firefox ESR 24.x before 24.3, Thunderbird before 24.3, SeaMonkey before 2.24, and other products, does not properly restrict public values in Diffie-Hellman key exchanges, which makes it easier for remote attackers to bypass cryptographic protection mechanisms in ticket handling by leveraging use of a certain value.