Mozilla Firefox 26 ibssl Session Ticket libssl отказ в обслуживании

| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
Сводка
В Mozilla Firefox 26 была найдена уязвимость, классифицированная как критический. Неизвестная функция в библиотеке libssl компонента ibssl Session Ticket Handler затронута. Осуществление манипуляции приводит к отказ в обслуживании. Эта уязвимость обрабатывается как CVE-2014-1490. Атаку можно инициировать удаленно. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.
Подробности
В Mozilla Firefox 26 была найдена уязвимость, классифицированная как критический. Неизвестная функция в библиотеке libssl компонента ibssl Session Ticket Handler затронута. Осуществление манипуляции приводит к отказ в обслуживании. Декларирование проблемы с помощью CWE приводит к CWE-399. Информация о слабости была опубликована 04.02.2014 автором Brian Smith, Antoine Delignat-Lavaud and Karthikeyan Bhargavan под номером MFSA2014-12 как Консультация (Веб-сайт). Документ доступен для загрузки по адресу mozilla.org. Публичная публикация была согласована с вендором.
Эта уязвимость обрабатывается как CVE-2014-1490. CVE был назначен 16.01.2014. Атаку можно инициировать удаленно. Доступна техническая информация. Сложность атаки довольно высока. Эксплуатационная пригодность, как говорят, затруднена. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k.
Присвоено значение Не определено. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $5k-$25k. Сканер Nessus предлагает плагин с идентификатором 72438. Он относится к семейству Debian Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 195432 (Ubuntu Security Notification for Firefox Regression (USN-2102-2)).
Обновление до версии 27 позволяет устранить данную проблему. Рекомендуется произвести апгрейд соответствующего компонента.
Уязвимость также задокументирована в других базах данных уязвимостей: SecurityFocus (BID 65335), Secunia (SA56706), Vulnerability Center (SBV-57883) и Tenable (72438).
Затронуто
- Mozilla Firefox 26
- Mozilla Thunderbird 24.2
- Mozilla SeaMonkey 2.23
- Mozilla Firefox ESR 24.2
- Mozilla Network Security Services (NSS) 3.15.3
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.mozilla.org/
- Продукт: https://www.mozilla.org/en-US/firefox/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 8.3VulDB Meta Temp Score: 7.9
VulDB Базовый балл: 8.3
VulDB Временная оценка: 7.9
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
NVD Базовый балл: 🔍
Эксплуатация
Класс: отказ в обслуживанииCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Статус: Не определено
EPSS Score: 🔍
EPSS Percentile: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Nessus ID: 72438
Nessus Имя: Debian DSA-2858-1 : iceweasel - several vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
OpenVAS ID: 702858
OpenVAS Имя: Debian Security Advisory DSA 2858-1 (iceweasel - several vulnerabilities
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍
Qualys ID: 🔍
Qualys Имя: 🔍
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Обновление: Firefox 27
Хронология
16.01.2014 🔍04.02.2014 🔍
04.02.2014 🔍
04.02.2014 🔍
06.02.2014 🔍
06.02.2014 🔍
15.07.2014 🔍
04.04.2016 🔍
25.11.2025 🔍
Источники
Поставщик: mozilla.orgПродукт: mozilla.org
Консультация: MFSA2014-12
Исследователь: Brian Smith, Antoine Delignat-Lavaud, Karthikeyan Bhargavan
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍
CVE: CVE-2014-1490 (🔍)
GCVE (CVE): GCVE-0-2014-1490
GCVE (VulDB): GCVE-100-12181
IAVM: 🔍
X-Force: 90885
SecurityFocus: 65335 - Mozilla Network Security Services CVE-2014-1490 Use After Free Memory Corruption Vulnerability
Secunia: 56706 - Cyberfox Multiple Vulnerabilities, Highly Critical
OSVDB: 102876 - Mozilla Network Security Services (NSS) libssl Session Ticket Processing Use-after-free Arbitrary Code Execution
SecurityTracker: 1029717
Vulnerability Center: 57883 - [cpujul2014-1972956, cpuoct2014-1972960] Mozilla NSS Remote Denial of Server due to a Use-After-Free Vulnerability (CVE-2014-1490), Medium
Смотрите также: 🔍
Вход
Создано: 06.02.2014 11:02Обновлено: 25.11.2025 20:26
Изменения: 06.02.2014 11:02 (50), 31.01.2018 09:55 (28), 09.06.2021 04:43 (4), 09.06.2021 04:53 (7), 09.06.2021 05:05 (2), 09.06.2021 05:18 (1), 25.11.2025 20:26 (15)
Завершенный: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.