CVE-2018-12384

Опубликовано: 29 апр. 2019

Источник: nvd

CVSS3: 5.9

CVSS2: 4.3

EPSS Низкий

Описание

When handling a SSLv2-compatible ClientHello request, the server doesn't generate a new random value but sends an all-zero value instead. This results in full malleability of the ClientHello for SSLv2 used for TLS 1.2 in all versions prior to NSS 3.39. This does not impact TLS 1.3.

Ссылки

https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2018-12384
Issue Tracking
Vendor Advisory
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2018-12384
Issue Tracking
Vendor Advisory
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mozilla:network_security_services:*:*:*:*:*:*:*:*

Версия до 3.39 (исключая)

EPSS

Процентиль: 77%

0.01017

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-335

Связанные уязвимости

CVE-2018-12384

CVSS3: 5.9

ubuntu

больше 6 лет назад

CVE-2018-12384

CVSS3: 4.8

redhat

около 7 лет назад

CVE-2018-12384

CVSS3: 5.9

debian

больше 6 лет назад

When handling a SSLv2-compatible ClientHello request, the server doesn ...

GHSA-rg3c-6wcj-37gm

CVSS3: 5.9

github

больше 3 лет назад

ELSA-2018-2898

oracle-oval

около 7 лет назад

ELSA-2018-2898: nss security update (MODERATE)

EPSS

Процентиль: 77%

0.01017

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-335