Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-17023

Опубликовано: 08 янв. 2020
Источник: nvd
CVSS3: 6.5
CVSS2: 4.3
EPSS Низкий

Уязвимость неверного перехода состояния в TLS State Machine, связанная с понижением протокола после отправки HelloRetryRequest в Mozilla Firefox

Описание

После отправки сообщения HelloRetryRequest клиент способен провести переговоры на более низкой версии протокола, чем TLS 1.3. Это приводит к некорректному переходу состояния в TLS State Machine. Если клиент оказывается в этом состоянии, входящие записи данных приложений игнорируются.

Затронутые версии ПО

  • Mozilla Firefox до 72

Тип уязвимости

Проблема с переходом состояний TLS

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 72.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*
Конфигурация 3
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 75%
0.00899
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-287

Связанные уязвимости

ubuntu логотип

CVE-2019-17023

CVSS3: 6.5
ubuntu
около 6 лет назад

After a HelloRetryRequest has been sent, the client may negotiate a lower protocol that TLS 1.3, resulting in an invalid state transition in the TLS State Machine. If the client gets into this state, incoming Application Data records will be ignored. This vulnerability affects Firefox < 72.

redhat логотип

CVE-2019-17023

CVSS3: 5.3
redhat
около 6 лет назад

After a HelloRetryRequest has been sent, the client may negotiate a lower protocol that TLS 1.3, resulting in an invalid state transition in the TLS State Machine. If the client gets into this state, incoming Application Data records will be ignored. This vulnerability affects Firefox < 72.

debian логотип

CVE-2019-17023

CVSS3: 6.5
debian
около 6 лет назад

After a HelloRetryRequest has been sent, the client may negotiate a lo ...

github логотип

GHSA-86rq-87v9-7ppc

CVSS3: 6.5
github
больше 3 лет назад

After a HelloRetryRequest has been sent, the client may negotiate a lower protocol that TLS 1.3, resulting in an invalid state transition in the TLS State Machine. If the client gets into this state, incoming Application Data records will be ignored. This vulnerability affects Firefox < 72.

fstec логотип

BDU:2020-01970

CVSS3: 6.5
fstec
около 6 лет назад

Уязвимость расширения HelloRetryRequest браузера Firefox, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 75%
0.00899
Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-287