Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-11745

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 8.8
CVSS2: 6.8
EPSS Низкий

Уязвимость повреждения памяти при шифровании блочным шифром в Thunderbird и Firefox из-за некорректной обработки данных

Описание

При шифровании с использованием блочного шифра, если вызов NSC_EncryptUpdate происходит с данными, меньшими, чем размер блока, может происходить небольшая запись за пределами границ. Это приводит к повреждению кучи и потенциально эксплуатируемому аварийному завершению работы системы.

Затронутые версии ПО

  • Thunderbird версий до 68.3
  • Firefox ESR версий до 68.3
  • Firefox версий до 71

Тип уязвимости

  • Повреждение памяти
  • Потенциально эксплуатируемое аварийное завершение работы

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 71.0 (исключая)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*
Версия до 68.3 (исключая)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*
Версия до 68.3.0 (исключая)
Конфигурация 2
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
Конфигурация 4
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 5
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.6:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_mx5000_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_mx5000:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx1400_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx1400:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx1500_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx1500:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx1501_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx1501:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx1510_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx1510:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx1511_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx1511:-:*:*:*:*:*:*:*
Конфигурация 12

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx1512_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx1512:-:*:*:*:*:*:*:*
Конфигурация 13

Одновременно

cpe:2.3:o:siemens:ruggedcom_rox_rx5000_firmware:*:*:*:*:*:*:*:*
Версия до 2.14.0 (исключая)
cpe:2.3:h:siemens:ruggedcom_rox_rx5000:-:*:*:*:*:*:*:*

EPSS

Процентиль: 73%
0.00806
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-787

Связанные уязвимости

ubuntu логотип

CVE-2019-11745

CVSS3: 8.8
ubuntu
почти 6 лет назад

When encrypting with a block cipher, if a call to NSC_EncryptUpdate was made with data smaller than the block size, a small out of bounds write could occur. This could have caused heap corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.

redhat логотип

CVE-2019-11745

CVSS3: 8.1
redhat
около 6 лет назад

When encrypting with a block cipher, if a call to NSC_EncryptUpdate was made with data smaller than the block size, a small out of bounds write could occur. This could have caused heap corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.

debian логотип

CVE-2019-11745

CVSS3: 8.8
debian
почти 6 лет назад

When encrypting with a block cipher, if a call to NSC_EncryptUpdate wa ...

github логотип

GHSA-gmvm-jpfj-v3f5

github
больше 3 лет назад

When encrypting with a block cipher, if a call to NSC_EncryptUpdate was made with data smaller than the block size, a small out of bounds write could occur. This could have caused heap corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 68.3, Firefox ESR < 68.3, and Firefox < 71.

oracle-oval логотип

ELSA-2019-4152

oracle-oval
около 6 лет назад

ELSA-2019-4152: nss-softokn security update (IMPORTANT)

EPSS

Процентиль: 73%
0.00806
Низкий

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-787