Mozilla Network Security Services até 3.19.0 ECC Encriptação fraca

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
5.7	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Mozilla Network Security Services até 3.19.0 e classificada como crítico. Afetado é uma função desconhecida do componente ECC Handler. O tratamento leva a Encriptação fraca. Esta vulnerabilidade é conhecida como CVE-2015-2730. Não existe exploit disponível. É recomendado atualizar o componente afetado.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Mozilla Network Security Services até 3.19.0 e classificada como crítico. Afetado é uma função desconhecida do componente ECC Handler. O tratamento leva a Encriptação fraca. Declarar o problema usando CWE resulta em CWE-310. O problema foi divulgado 06/07/2015 por Karthikeyan Bhargavan (Paul) com Mozilla Developers (Site). O comunicado está disponível para download em developer.mozilla.org.

Esta vulnerabilidade é conhecida como CVE-2015-2730. A atribuição do CVE ocorreu em 25/03/2015. Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projeto MITRE ATT&CK identifica a técnica de ataque como T1600.

Como 0-day, o preço estimado no mercado negro era cerca de $5k-$25k. O Nessus oferece um plugin com o ID 84575 para detecção de vulnerabilidades. Encontra-se atribuído à família MacOS X Local Security Checks. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 196175 (Ubuntu Security Notification for Nss Vulnerabilities (USN-2672-1)).

A atualização para a versão 3.19.1 pode solucionar este problema. É recomendado atualizar o componente afetado.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 75541), X-Force (104386), Vulnerability Center (SBV-50997) e Tenable (84575).

Produtoinformação

Tipo

• Web Browser

Fabricante

• Mozilla

Nome

• Network Security Services

Versão

• 3.0
• 3.1
• 3.2
• 3.3
• 3.4
• 3.5
• 3.6
• 3.7
• 3.8
• 3.9
• 3.10
• 3.11
• 3.12
• 3.13
• 3.14
• 3.15
• 3.16
• 3.17
• 3.18
• 3.19.0

Licença

• código aberto

Site

• Fabricante: https://www.mozilla.org/

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.5
VulDB Meta Pontuação Temporária: 5.7

VulDB Pontuação Base: 6.5
VulDB Pontuação Temporária: 5.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Encriptação fraca
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não provado

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 84575
Nessus Nome: Firefox ESR < 31.8 Multiple Vulnerabilities (Mac OS X) (Logjam)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍

OpenVAS ID: 703336
OpenVAS Nome: Debian Security Advisory DSA 3336-1 (nss - security update)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍
Atualização: Network Security Services 3.19.1

Linha do tempoinformação

25/03/2015 🔍
02/07/2015 +99 dias 🔍
02/07/2015 +0 dias 🔍
05/07/2015 +3 dias 🔍
05/07/2015 +0 dias 🔍
06/07/2015 +1 dias 🔍
06/07/2015 +0 dias 🔍
22/10/2024 +3396 dias 🔍

Fontesinformação

Fabricante: mozilla.org

Aconselhamento: USN-2656-1
Pessoa: Karthikeyan Bhargavan (Paul)
Empresa: Mozilla Developers
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2015-2730 (🔍)
GCVE (CVE): GCVE-0-2015-2730
GCVE (VulDB): GCVE-100-76285

OVAL: 🔍

X-Force: 104386 - Mozilla Firefox ECC security bypass
SecurityFocus: 75541 - Mozilla Firefox/Thunderbird Multiple Security Vulnerabilities
SecurityTracker: 1032783
Vulnerability Center: 50997 - Mozilla Firefox and Firefox ESR Remote Unspecified Vulnerability due to Signature Forgery, Medium

Veja também: 🔍

Entradainformação

Criado: 06/07/2015 10h17
Atualizado: 22/10/2024 20h17
Ajustamentos: 06/07/2015 10h17 (64), 03/07/2017 09h02 (14), 23/05/2022 10h36 (4), 23/05/2022 10h43 (1), 23/05/2022 10h49 (1), 22/10/2024 20h17 (15)
Completo: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussão

Do you need the next level of professionalism?

Upgrade your account now!