CVE-2015-7575 — icedove - security update

描述

Mozilla Network Security Services (NSS) before 3.20.2, as used in Mozilla Firefox before 43.0.2 and Firefox ESR 38.x before 38.5.2, does not reject MD5 signatures in Server Key Exchange messages in TLS 1.2 Handshake Protocol traffic, which makes it easier for man-in-the-middle attackers to spoof servers by triggering a collision.

如何修補 CVE-2015-7575

要修補 CVE-2015-7575,請將受影響套件升級到下列已修補版本。

—升級至 2.12.20-8+deb7u5 或更新版本
—升級至 3.3.15-1 或更新版本
—升級至 38.6.0-1~deb7u1 或更新版本
—升級至 38.6.0esr-1~deb7u1 或更新版本
—升級至 2:3.21-1 或更新版本
—升級至 6b38-1.13.10-1~deb6u1 或更新版本
—升級至 7u95-2.6.4-1~deb7u1 或更新版本
—升級至 1.0.1e-2+deb7u19 或更新版本
—升級至 1.0.1f-1 或更新版本

CVE-2015-7575 正在被利用嗎?

低 — EPSS 為 1.1%,目前沒有觀察到大規模利用活動。

受影響套件(9)

from 0, < 2.12.20-8+deb7u5
from 0, < 3.3.15-1
from 0, < 38.6.0-1~deb7u1
from 0, < 38.6.0esr-1~deb7u1
from 0, < 2:3.21-1
from 0, < 6b38-1.13.10-1~deb6u1
from 0, < 7u95-2.6.4-1~deb7u1
from 0, < 1.0.1e-2+deb7u19
from 0, < 1.0.1f-1

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.9	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

參考連結(1)

ADVISORYsecurity-tracker.debian.org/tracker/CVE-2015-7575