PT-2020-13102 · Mozilla+7 · Nss+7

Publicado

2020-07-27

·

Atualizado

2024-06-15

·

CVE-2020-12403

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do NSS anteriores à 3.55
Descrição
Foi identificada uma falha na implementação do CHACHA20-POLY1305 no NSS. Esse problema pode causar leituras fora dos limites ao usar o ChaCha20 multiparte, afetando a confidencialidade e a disponibilidade do sistema.
Recomendações
Para versões anteriores à 3.55, o problema foi corrigido desativando explicitamente o ChaCha20 multiparte e aplicando rigorosamente o comprimento da tag. Como solução temporária, considere desativar o uso do ChaCha20 multiparte até que um patch esteja disponível.

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALT-PU-2020-2482
ALT-PU-2020-2932
ALT-PU-2021-1367
AZL-6746
CESA-2020_4076
CESA-2021_0538
CVE-2020-12403
DLA-2388-1
DLA-3327-1
MGASA-2020-0318
OESA-2021-1115
OESA-2021-1116
OPENSUSE-SU-2024:11058-1
RHSA-2020:4076
RHSA-2020_4076
RHSA-2021:0538
RHSA-2021:0758
RHSA-2021:0876
RHSA-2021:1026
RHSA-2021_0538
RLSA-2021:0538
SUSE-RU-2021:14818-1
SUSE-RU-2021:3115-1
SUSE-RU-2021:3115-2
SUSE-RU-2021:3116-1
USN-4476-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Nss
Red Hat
Rocky Linux
Ubuntu