Уязвимость сохранения SSL-соединения в Mozilla Firefox после удаления исключения для недействительного TLS-сертификата
Описание
Если пользователь добавил исключение для недействительного TLS-сертификата, открыл TLS-соединение с сервером, использующим этот сертификат, а затем удалил исключение, Firefox продолжал поддерживать активное соединение. Это создавало впечатление, что сертификат всё ещё считается доверенным.
Затронутые версии ПО
- Mozilla Firefox версии ниже 107
Тип уязвимости
Ошибка управления доверием к сертификатам
Ссылки
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
- Issue TrackingPermissions RequiredVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
EPSS
6.5 Medium
CVSS3
Дефекты
Связанные уязвимости
If the user added a security exception for an invalid TLS certificate, opened an ongoing TLS connection with a server that used that certificate, and then deleted the exception, Firefox would have kept the connection alive, making it seem like the certificate was still trusted. This vulnerability affects Firefox < 107.
If the user added a security exception for an invalid TLS certificate, opened an ongoing TLS connection with a server that used that certificate, and then deleted the exception, Firefox would have kept the connection alive, making it seem like the certificate was still trusted. This vulnerability affects Firefox < 107.
If the user added a security exception for an invalid TLS certificate, ...
If the user added a security exception for an invalid TLS certificate, opened an ongoing TLS connection with a server that used that certificate, and then deleted the exception, Firefox would have kept the connection alive, making it seem like the certificate was still trusted. This vulnerability affects Firefox < 107.
Уязвимость реализации протокола TLS веб-браузера Firefox, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных
EPSS
6.5 Medium
CVSS3