ASA-2019-00447 – Mozilla Firefox: As assinaturas PKCS#1 v1.5 podem ser usadas para o TLS 1.3

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00447

Identificador(es)

ASA-2019-00447, CVE-2019-11727, MFSA2019-21

Título

As assinaturas PKCS#1 v1.5 podem ser usadas para o TLS 1.3

Fabricante(s)

Mozilla Foundation

Produto(s)

Mozilla Firefox

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 68

Versão(ões) corrigida(s)

Mozilla Firefox versão 68

Prova de conceito

Desconhecido

Descrição

Existe uma vulnerabilidade onde é possível forçar o Network Security Services (NSS) a assinar o CertificateVerify com assinaturas PKCS#1 v1.5 quando essas são as únicas anunciadas pelo servidor em CertificateRequest no TLS 1.3. As assinaturas PKCS#1 v1.5 não devem ser usadas para mensagens TLS 1.3.

Detalhes técnicos

Desconhecido

Créditos

Hubert Kario

Referência(s)

Mozilla Foundation Security Advisory 2019-21
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/#CVE-2019-11727

Bug 1552208
https://bugzilla.mozilla.org/show_bug.cgi?id=1552208

CVE-2019-11727
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11727

CVE-2019-11727
https://nvd.nist.gov/vuln/detail/CVE-2019-11727

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.