阿里云漏洞库

漏洞描述

Mozilla Firefox、Firefox ESR和Thunderbird都是由美国Mozilla基金会开发。Firefox是一款开源Web浏览器；Firefox ESR是Firefox的一个延长支持版本；Thunderbird是从Mozilla Application Suite中独立出来的一套电子邮件客户端软件。Mozilla Network Security Services（NSS）是一个函数库（网络安全服务库）。

多款Mozilla产品中使用的Mozilla NSS存在安全漏洞。由于程序未能正确确定TLS状态机的状态转换。允许攻击者以中间人方式攻击，并通过阻止消息来击败密码保护机制，具体表现为通过阻断服务器密钥的消息，也叫做“SMACK SKIP-TLS”的问题消除正向保密性。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.mozilla.org/security/announce/2015/mfsa2015-71.html

参考链接
http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00025.html
http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00031.html
http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00033.html
http://lists.opensuse.org/opensuse-security-announce/2015-07/msg00034.html
http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00021.html
http://rhn.redhat.com/errata/RHSA-2015-1185.html
http://rhn.redhat.com/errata/RHSA-2015-1664.html
http://www.debian.org/security/2015/dsa-3324
http://www.debian.org/security/2015/dsa-3336
http://www.mozilla.org/security/announce/2015/mfsa2015-71.html
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
http://www.securityfocus.com/bid/75541
http://www.securityfocus.com/bid/83398
http://www.securityfocus.com/bid/91787
http://www.securitytracker.com/id/1032783
http://www.securitytracker.com/id/1032784
http://www.ubuntu.com/usn/USN-2656-1
http://www.ubuntu.com/usn/USN-2656-2
http://www.ubuntu.com/usn/USN-2672-1
http://www.ubuntu.com/usn/USN-2673-1
https://bugzilla.mozilla.org/show_bug.cgi?id=1086145
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.19_release_notes
https://security.gentoo.org/glsa/201512-10
https://security.gentoo.org/glsa/201701-46
https://smacktls.com

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mozilla	firefox	*		Up to (including) 38.1.0
	运行在以下环境
	应用	mozilla	firefox_esr	31.0	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.1	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.1.0	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.1.1	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.2	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.3	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.3.0	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.4	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.5	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.5.1	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.5.2	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.5.3	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.6.0	-
	运行在以下环境
	应用	mozilla	firefox_esr	31.7.0	-
	运行在以下环境
	应用	mozilla	firefox_esr	38.0	-
	运行在以下环境
	应用	mozilla	network_security_services	3.19	-
	运行在以下环境
	应用	mozilla	thunderbird	*		Up to (including) 38.0.1
	运行在以下环境
	系统	canonical	ubuntu_linux	12.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	14.04	-
	运行在以下环境
	系统	canonical	ubuntu_linux	14.10	-
	运行在以下环境
	系统	canonical	ubuntu_linux	15.04	-
	运行在以下环境
	系统	centos_5	nss	*		Up to (excluding) 3.19.1-1.el5_11
	运行在以下环境
	系统	centos_6	nss	*		Up to (excluding) 3.19.1-3.el6_6.i686.rpm
	运行在以下环境
	系统	debian	debian_linux	7.0	-
	运行在以下环境
	系统	debian	debian_linux	8.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2:3.19.1-1
	运行在以下环境
	系统	debian_6	nss	*		Up to (excluding) 3.12.8-1+squeeze12
	运行在以下环境
	系统	debian_7	nss	*		Up to (excluding) 31.8.0esr-1~deb7u1
	运行在以下环境
	系统	debian_8	nss	*		Up to (excluding) 38.7.0-1~deb8u1
	运行在以下环境
	系统	novell	suse_linux_enterprise_desktop	12.0	-
	运行在以下环境
系统	novell	suse_linux_enterprise_server	11	-
运行在以下环境
系统	novell	suse_linux_enterprise_server	12.0	-
运行在以下环境
系统	novell	suse_linux_enterprise_software_development_kit	12.0	-
运行在以下环境
系统	opensuse_11.4	nss	*		Up to (excluding) 3.19.2-107.1
运行在以下环境
系统	opensuse_13.1	nss	*		Up to (excluding) 39.0-78.1
运行在以下环境
系统	opensuse_13.2	nss	*		Up to (excluding) 39.0-34.2
运行在以下环境
系统	oracle	solaris	11.3	-
运行在以下环境
系统	oracle	vm_server	3.2	-
运行在以下环境
系统	oracle linux_5	nss	*		Up to (excluding) 3.19.1-1.el5_11
运行在以下环境
系统	oracle_5	nss	*		Up to (excluding) 3.19.1-1.el5_11
运行在以下环境
系统	redhat_5	nss	*		Up to (excluding) 0:3.19.1-1.el5_11
运行在以下环境
系统	redhat_7	nss-util	*		Up to (excluding) 0:3.19.1-1.el6_6
运行在以下环境
系统	sles_11_SP3	nss	*		Up to (excluding) 3.19.2_CKBI_1.98-0.10.1
运行在以下环境
系统	sles_11_SP4	nss	*		Up to (excluding) 3.19.2_CKBI_1.98-0.10.1
运行在以下环境
系统	sles_12	MozillaFirefox	*		Up to (excluding) 38.4.0esr-51
运行在以下环境
系统	sles_12	nss	*		Up to (excluding) 4.10.8-3.1
运行在以下环境
系统	suse_11_SP3	nss	*		Up to (excluding) 31.8.0esr-0.10.1
运行在以下环境
系统	suse_11_SP4	nss	*		Up to (excluding) 31.8.0esr-0.10.1
运行在以下环境
系统	suse_12	nss	*		Up to (excluding) 3.19.2_CKBI_1.98-21.1
运行在以下环境
系统	ubuntu_12.04.5_lts	firefox	*		Up to (excluding) 39.0+build5-0ubuntu0.12.04.2
运行在以下环境
系统	ubuntu_12.04_lts	firefox	*		Up to (excluding) 39.0+build5-0ubuntu0.12.04.2
运行在以下环境
系统	ubuntu_14.04	nss	*		Up to (excluding) 2:3.19.2-0ubuntu0.14.04.1
运行在以下环境
系统	ubuntu_14.04.6_lts	firefox	*		Up to (excluding) 39.0+build5-0ubuntu0.14.04.1
运行在以下环境
系统	ubuntu_14.04_lts	firefox	*		Up to (excluding) 39.0+build5-0ubuntu0.14.04.1
运行在以下环境
系统	ubuntu_14.04_lts	nss	*		Up to (excluding) 2:3.19.2-0ubuntu0.14.04.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型

中危 Mozilla Network Security Services加密问题漏洞

漏洞描述

解决建议

参考链接

受影响软件情况