Уязвимость спуфинга веб-сайта в Mozilla Firefox из-за некорректной реализации закрепления открытых ключей (PKP)
Описание
В реализации закрепления открытых ключей (PKP) в Mozilla Firefox до версии 33.0 присутствует уязвимость, связанная с некорректным учетом поведения соединений SPDY и HTTP/2 в случае использования общего IP-адреса. Это позволяет злоумышленникам типа "человек посередине" (MiTM) обойти запланированную конфигурацию закрепления и осуществить спуфинг веб-сайта, предоставив действительный сертификат от произвольного признанного центра сертификации.
Затронутые версии ПО
- Mozilla Firefox до версии 33.0
Тип уязвимости
- Спуфинг
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
The Public Key Pinning (PKP) implementation in Mozilla Firefox before 33.0 does not properly consider the connection-coalescing behavior of SPDY and HTTP/2 in the case of a shared IP address, which allows man-in-the-middle attackers to bypass an intended pinning configuration and spoof a web site by providing a valid certificate from an arbitrary recognized Certification Authority.
The Public Key Pinning (PKP) implementation in Mozilla Firefox before 33.0 does not properly consider the connection-coalescing behavior of SPDY and HTTP/2 in the case of a shared IP address, which allows man-in-the-middle attackers to bypass an intended pinning configuration and spoof a web site by providing a valid certificate from an arbitrary recognized Certification Authority.
The Public Key Pinning (PKP) implementation in Mozilla Firefox before ...
The Public Key Pinning (PKP) implementation in Mozilla Firefox before 33.0 does not properly consider the connection-coalescing behavior of SPDY and HTTP/2 in the case of a shared IP address, which allows man-in-the-middle attackers to bypass an intended pinning configuration and spoof a web site by providing a valid certificate from an arbitrary recognized Certification Authority.
EPSS
4.3 Medium
CVSS2