Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2015-2741

Опубликовано: 06 июл. 2015
Источник: nvd
CVSS2: 4.3
EPSS Низкий

Уязвимость обхода ограничений доступа через проблемные X.509 сертификаты с включенным закреплением ключей в Mozilla Firefox и Thunderbird

Описание

В версиях Mozilla Firefox до 39.0, Firefox ESR 38.x до 38.1 и Thunderbird до 38.1 обнаружена уязвимость, которая позволяет злоумышленникам осуществлять атаку "человек посередине" (MiTM) с помощью пользователя. Проблема возникает из-за того, что при возникновении проблем с X.509 сертификатами не применяется механизм закрепления ключей, если появляется пользовательский диалог. Это позволяет злоумышленнику обойти ограничения доступа, вызвав применение (1) истёкшего сертификата или (2) несоответствия имени хоста для домена с включенным закреплением.

Затронутые версии ПО

  • Mozilla Firefox до версии 39.0
  • Firefox ESR 38.x до версии 38.1
  • Thunderbird до версии 38.1

Тип уязвимости

  • Атака "человек посередине" (MiTM)
  • Обход ограничений доступа

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 38.1.0 (включая)
Конфигурация 2
cpe:2.3:o:oracle:solaris:11.3:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:mozilla:firefox:31.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.1.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.3.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:31.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.2:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.3:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.4:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.6.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox_esr:31.7.0:*:*:*:*:*:*:*

EPSS

Процентиль: 67%
0.00562
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-310

Связанные уязвимости

ubuntu логотип

CVE-2015-2741

ubuntu
около 10 лет назад

Mozilla Firefox before 39.0, Firefox ESR 38.x before 38.1, and Thunderbird before 38.1 do not enforce key pinning upon encountering an X.509 certificate problem that generates a user dialog, which allows user-assisted man-in-the-middle attackers to bypass intended access restrictions by triggering a (1) expired certificate or (2) mismatched hostname for a domain with pinning enabled.

redhat логотип

CVE-2015-2741

redhat
около 10 лет назад

Mozilla Firefox before 39.0, Firefox ESR 38.x before 38.1, and Thunderbird before 38.1 do not enforce key pinning upon encountering an X.509 certificate problem that generates a user dialog, which allows user-assisted man-in-the-middle attackers to bypass intended access restrictions by triggering a (1) expired certificate or (2) mismatched hostname for a domain with pinning enabled.

debian логотип

CVE-2015-2741

debian
около 10 лет назад

Mozilla Firefox before 39.0, Firefox ESR 38.x before 38.1, and Thunder ...

github логотип

GHSA-7wmj-q9mp-9x7x

github
около 3 лет назад

Mozilla Firefox before 39.0, Firefox ESR 38.x before 38.1, and Thunderbird before 38.1 do not enforce key pinning upon encountering an X.509 certificate problem that generates a user dialog, which allows user-assisted man-in-the-middle attackers to bypass intended access restrictions by triggering a (1) expired certificate or (2) mismatched hostname for a domain with pinning enabled.

oracle-oval логотип

ELSA-2015-1455

oracle-oval
около 10 лет назад

ELSA-2015-1455: thunderbird security update (IMPORTANT)

EPSS

Процентиль: 67%
0.00562
Низкий

4.3 Medium

CVSS2

Дефекты

CWE-310