低危 Mozilla Network Security Services 3.15.3 lib/ssl/sslsecur.c ssl_Do1stHandshake 加密问题漏洞

CVE编号

CVE-2013-1740

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-01-19
漏洞描述
NSS实现SSL v2/v3, TLS, PKCS#5, PKCS#7, PKCS#11, PKCS#12, S/MIME, X.509v3证书和其他安全标准。

Network Security Services (NSS) "ssl_Do1stHandshake()"函数(lib/ssl/sslsecur.c)存在错误,允许攻击者利用漏洞返回PR_Recv中的未加密和未验证数据。

要成功利用漏洞需要启用了false start。
解决建议
Network Security Services (NSS) 3.15.4已经修复该漏洞,建议用户下载更新:
https://developer.mozilla.org/en-US/docs/NSS/NSS_3.15.4_release_notes
参考链接
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00004.html
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00005.html
http://seclists.org/fulldisclosure/2014/Dec/23
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
http://www.securityfocus.com/archive/1/534161/100/0/threaded
http://www.securityfocus.com/bid/64944
http://www.ubuntu.com/usn/USN-2088-1
http://www.vmware.com/security/advisories/VMSA-2014-0012.html
https://bugs.gentoo.org/show_bug.cgi?id=498172
https://bugzilla.mozilla.org/show_bug.cgi?id=919877
https://bugzilla.redhat.com/show_bug.cgi?id=1053725
https://developer.mozilla.org/docs/NSS/NSS_3.15.4_release_notes
https://exchange.xforce.ibmcloud.com/vulnerabilities/90394
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 mozilla network_security_services * Up to
(including)
3.15.3
运行在以下环境
应用 mozilla network_security_services 3.11.2 -
运行在以下环境
应用 mozilla network_security_services 3.11.3 -
运行在以下环境
应用 mozilla network_security_services 3.11.4 -
运行在以下环境
应用 mozilla network_security_services 3.11.5 -
运行在以下环境
应用 mozilla network_security_services 3.12 -
运行在以下环境
应用 mozilla network_security_services 3.12.1 -
运行在以下环境
应用 mozilla network_security_services 3.12.10 -
运行在以下环境
应用 mozilla network_security_services 3.12.11 -
运行在以下环境
应用 mozilla network_security_services 3.12.2 -
运行在以下环境
应用 mozilla network_security_services 3.12.3 -
运行在以下环境
应用 mozilla network_security_services 3.12.3.1 -
运行在以下环境
应用 mozilla network_security_services 3.12.3.2 -
运行在以下环境
应用 mozilla network_security_services 3.12.4 -
运行在以下环境
应用 mozilla network_security_services 3.12.5 -
运行在以下环境
应用 mozilla network_security_services 3.12.6 -
运行在以下环境
应用 mozilla network_security_services 3.12.7 -
运行在以下环境
应用 mozilla network_security_services 3.12.8 -
运行在以下环境
应用 mozilla network_security_services 3.12.9 -
运行在以下环境
应用 mozilla network_security_services 3.14 -
运行在以下环境
应用 mozilla network_security_services 3.14.1 -
运行在以下环境
应用 mozilla network_security_services 3.14.2 -
运行在以下环境
应用 mozilla network_security_services 3.14.3 -
运行在以下环境
应用 mozilla network_security_services 3.14.4 -
运行在以下环境
应用 mozilla network_security_services 3.14.5 -
运行在以下环境
应用 mozilla network_security_services 3.15 -
运行在以下环境
应用 mozilla network_security_services 3.15.1 -
运行在以下环境
应用 mozilla network_security_services 3.15.2 -
运行在以下环境
应用 mozilla network_security_services 3.2 -
运行在以下环境
应用 mozilla network_security_services 3.2.1 -
运行在以下环境
应用 mozilla network_security_services 3.3 -
运行在以下环境
应用 mozilla network_security_services 3.3.1 -
运行在以下环境
应用 mozilla network_security_services 3.3.2 -
运行在以下环境
应用 mozilla network_security_services 3.4 -
运行在以下环境
应用 mozilla network_security_services 3.4.1 -
运行在以下环境
应用 mozilla network_security_services 3.4.2 -
运行在以下环境
应用 mozilla network_security_services 3.5 -
运行在以下环境
应用 mozilla network_security_services 3.6 -
运行在以下环境
应用 mozilla network_security_services 3.6.1 -
运行在以下环境
应用 mozilla network_security_services 3.7 -
运行在以下环境
应用 mozilla network_security_services 3.7.1 -
运行在以下环境
应用 mozilla network_security_services 3.7.2 -
运行在以下环境
应用 mozilla network_security_services 3.7.3 -
运行在以下环境
应用 mozilla network_security_services 3.7.5 -
运行在以下环境
应用 mozilla network_security_services 3.7.7 -
运行在以下环境
应用 mozilla network_security_services 3.8 -
运行在以下环境
应用 mozilla network_security_services 3.9 -
运行在以下环境
系统 redhat_5 nss * Up to
(excluding)
0:3.16.1-2.el5
运行在以下环境
系统 redhat_6 nspr * Up to
(excluding)
0:4.10.6-1.el6_5
运行在以下环境
系统 suse_12 libfreebl3 * Up to
(excluding)
3.16.4-5
运行在以下环境
系统 ubuntu_12.04.5_lts nss * Up to
(excluding)
3.15.4-0ubuntu0.12.04.1
阿里云评分
3.4
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况