Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2015-7575

Опубликовано: 09 янв. 2016
Источник: nvd
CVSS3: 5.9
CVSS2: 4.3
EPSS Низкий

Уязвимость подмены серверов в Mozilla Firefox из-за отсутствия отклонения подписей MD5 в NSS при использовании протокола TLS 1.2

Описание

В Mozilla Network Security Services (NSS), использующейся в Mozilla Firefox, отсутствует отклонение подписей MD5 в сообщениях Server Key Exchange в трафике протокола TLS 1.2 Handshake. Это облегчает злоумышленникам возможность подмены серверов путем инициирования коллизии.

Затронутые версии ПО

  • Mozilla Network Security Services (NSS) версии до 3.20.2
  • Mozilla Firefox версии до 43.0.2
  • Firefox ESR 38.x версии до 38.5.2

Тип уязвимости

Подмена (спуфинг) серверов

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:network_security_services:*:*:*:*:*:*:*:*
Версия до 3.20.1 (включая)
Конфигурация 2

Одно из

cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:mozilla:firefox:38.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.0.5:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.1.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.2.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.2.1:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.3.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.4.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.5.0:*:*:*:*:*:*:*
cpe:2.3:a:mozilla:firefox:38.5.1:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:15.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:15.10:*:*:*:*:*:*:*
Конфигурация 5
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 43.0.1 (включая)

EPSS

Процентиль: 83%
0.02005
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-19

Связанные уязвимости

ubuntu логотип

CVE-2015-7575

CVSS3: 5.9
ubuntu
больше 9 лет назад

Mozilla Network Security Services (NSS) before 3.20.2, as used in Mozilla Firefox before 43.0.2 and Firefox ESR 38.x before 38.5.2, does not reject MD5 signatures in Server Key Exchange messages in TLS 1.2 Handshake Protocol traffic, which makes it easier for man-in-the-middle attackers to spoof servers by triggering a collision.

redhat логотип

CVE-2015-7575

redhat
больше 9 лет назад

Mozilla Network Security Services (NSS) before 3.20.2, as used in Mozilla Firefox before 43.0.2 and Firefox ESR 38.x before 38.5.2, does not reject MD5 signatures in Server Key Exchange messages in TLS 1.2 Handshake Protocol traffic, which makes it easier for man-in-the-middle attackers to spoof servers by triggering a collision.

debian логотип

CVE-2015-7575

CVSS3: 5.9
debian
больше 9 лет назад

Mozilla Network Security Services (NSS) before 3.20.2, as used in Mozi ...

suse-cvrf логотип

openSUSE-SU-2016:0605-1

suse-cvrf
больше 9 лет назад

Security update for bouncycastle

suse-cvrf логотип

openSUSE-SU-2016:0162-1

suse-cvrf
больше 9 лет назад

Security update for mbedtls

EPSS

Процентиль: 83%
0.02005
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-19