阿里云漏洞库

低危 Mono安全绕过漏洞（CNVD-2015-02032）

CVE编号

CVE-2015-2319

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-01-09

漏洞描述

Mono是一个自由开源的项目。该项目的目标是创建一系列符合ECMA标准（Ecma-334和Ecma-335）的.NET工具，包括C#编译器和通用语言架构。

Mono中存在安全漏洞，允许远程攻击者利用漏洞通过进行一个中间人攻击，执行未经授权的操作。

解决建议

用户可联系供应商获得补丁信息：
http://www.mono-project.com/download/

参考链接
http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability/
http://www.openwall.com/lists/oss-security/2015/03/17/9
http://www.securityfocus.com/bid/73250
http://www.ubuntu.com/usn/USN-2547-1
https://bugzilla.redhat.com/show_bug.cgi?id=1202869
https://github.com/mono/mono/commit/9c38772f094168d8bfd5bc73bf8925cd04faad10
https://mitls.org/pages/attacks/SMACK#freak
https://www.debian.org/security/2015/dsa-3202

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mono-project	mono	*		Up to (excluding) 3.12.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 3.2.8+dfsg-10
	运行在以下环境
	系统	debian_10	mono	*		Up to (excluding) 3.2.8+dfsg-10
	运行在以下环境
	系统	debian_11	mono	*		Up to (excluding) 3.2.8+dfsg-10
	运行在以下环境
	系统	debian_12	mono	*		Up to (excluding) 3.2.8+dfsg-10
	运行在以下环境
	系统	debian_6	mono	*		Up to (excluding) 2.6.7-5.1+deb6u1
	运行在以下环境
	系统	debian_7	mono	*		Up to (excluding) 2.10.8.1-8+deb7u1
	运行在以下环境
	系统	suse_11	mono-core	*		Up to (excluding) 2.6.7-0.13
	运行在以下环境
	系统	ubuntu_12.04.5_lts	mono	*		Up to (excluding) 2.10.8.1-1ubuntu2.3
	运行在以下环境
	系统	ubuntu_14.04	mono	*		Up to (excluding) 3.2.8+dfsg-4ubuntu1.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	mono	*		Up to (excluding) 3.2.8+dfsg-4ubuntu1.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-295	证书验证不恰当