CVE-2015-2319
https://notcve.org/view.php?id=CVE-2015-2319
The TLS stack in Mono before 3.12.1 makes it easier for remote attackers to conduct cipher-downgrade attacks to EXPORT_RSA ciphers via crafted TLS traffic, related to the "FREAK" issue, a different vulnerability than CVE-2015-0204. La pila TLS en Mono en versiones anteriores a la 3.12.1 hace que sea más fácil para los atacantes remotos realizar ataques de degradación de cifrado para los cifrados EXPORT_RSA a través de tráfico TLS manipulado. Esta vulnerabilidad está relacionada con el problema "FREAK", una vulnerabilidad diferente de CVE-2015-0204. • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73250 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/9c38772f094168d8bfd5bc73bf8925cd04faad10 https://mitls.org/pages/attacks/SMACK#freak https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •
CVE-2015-2318
https://notcve.org/view.php?id=CVE-2015-2318
The TLS stack in Mono before 3.12.1 allows man-in-the-middle attackers to conduct message skipping attacks and consequently impersonate clients by leveraging missing handshake state validation, aka a "SMACK SKIP-TLS" issue. La pila TLS en Mono en versiones anteriores a la 3.12.1 permite que los atacantes Man-in-the-Middle (MitM) realicen ataques de salto de mensajes y que puedan suplantar clientes aprovechándose de la falta de validación del estado de los "handshakes". Esta vulnerabilidad también se conoce como "SMACK SKIP-TLS". • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73253 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/1509226c41d74194c146deb173e752b8d3cdeec4 https://mitls.org/pages/attacks/SMACK#skip https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •
CVE-2015-2320
https://notcve.org/view.php?id=CVE-2015-2320
The TLS stack in Mono before 3.12.1 allows remote attackers to have unspecified impact via vectors related to client-side SSLv2 fallback. La pila TLS en Mono en versiones anteriores a la 3.12.1 permite que los atacantes remotos provoquen un impacto sin especificar mediante vectores relacionados con el fallback SSLv2 del lado del cliente. • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73256 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/b371da6b2d68b4cdd0f21d6342af6c42794f998b https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •
CVE-2012-3382
https://notcve.org/view.php?id=CVE-2012-3382
Cross-site scripting (XSS) vulnerability in the ProcessRequest function in mcs/class/System.Web/System.Web/HttpForbiddenHandler.cs in Mono 2.10.8 and earlier allows remote attackers to inject arbitrary web script or HTML via a file with a crafted name and a forbidden extension, which is not properly handled in an error message. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la función ProcessRequest en mcs/class/System.Web/System.web/HttpForbiddenHandler.cs en Mono v2.10.8 y anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un archivo con un nombre modificado y una extensión prohibida, que no es correctamente manipulado en un mensaje de error. • http://www.mandriva.com/security/advisories?name=MDVSA-2012:140 http://www.openwall.com/lists/oss-security/2012/07/06/11 https://bugzilla.novell.com/show_bug.cgi?id=769799 https://github.com/mono/mono/commit/d16d4623edb210635bec3ca3786481b82cde25a2 https://hermes.opensuse.org/messages/15374367 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-0991
https://notcve.org/view.php?id=CVE-2011-0991
Use-after-free vulnerability in Mono, when Moonlight 2.x before 2.4.1 or 3.x before 3.99.3 is used, allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors related to finalizing and then resurrecting a DynamicMethod instance. Vulnerabilidad de uso después de la liberación en Mono cuando se usa Moonlight v2.x anteriores a v2.4.1 o v3.x anteriores a v3.99.3 , permite a atacantes remotos producir una denegación de servicio (caída de aplicación) o posiblemente algún impacto a través de vectores relacionados con la finalización y luego resucitar una instancia DynamicMethod. • http://lists.opensuse.org/opensuse-updates/2011-04/msg00024.html http://openwall.com/lists/oss-security/2011/04/06/14 http://secunia.com/advisories/44002 http://secunia.com/advisories/44076 http://www.mono-project.com/Vulnerabilities http://www.securityfocus.com/bid/47208 http://www.vupen.com/english/advisories/2011/0904 https://bugzilla.novell.com/show_bug.cgi?id=660422 https://bugzilla.novell.com/show_bug.cgi?id=667077 https://exchange.xforce.ibmcloud.com/vulnerabilities/66 • CWE-399: Resource Management Errors •