PT-2020-6471 · Mozilla+8 · Nss+8

Publicado

2020-10-19

·

Atualizado

2024-06-15

·

CVE-2020-25648

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do NSS anteriores à 3.58
Descrição
Foi identificada uma falha na forma como o NSS processava mensagens CCS (ChangeCipherSpec) no TLS 1.3, permitindo que um invasor remoto enviasse múltiplas mensagens CCS e causasse uma negação de serviço em servidores compilados com a biblioteca NSS. A principal ameaça decorrente desse problema é à disponibilidade do sistema.
Recomendações
Para versões anteriores à 3.58, atualize para a versão 3.58 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a conexões TLS 1.3 para minimizar o risco de exploração.

Correção

DoS

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770

Identificadores relacionados

ALSA-2021:3572
ALT-PU-2020-3119
ALT-PU-2021-1367
ALT-PU-2022-1779
BDU:2021-05184
CESA-2021_3572
CVE-2020-25648
DLA-3634-1
MGASA-2020-0395
OESA-2021-1115
OESA-2021-1116
OPENSUSE-SU-2024:11058-1
RHSA-2021:1384
RHSA-2021:3572
RHSA-2021_1384
RHSA-2021_3572
RLSA-2021:3572
SUSE-RU-2021:14818-1
SUSE-RU-2021:3115-1
SUSE-RU-2021:3115-2
SUSE-RU-2021:3116-1
USN-5410-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Nss
Red Hat
Rocky Linux
Ubuntu