| Vulnerability Name: | CVE-2016-3125 (CCN-111467) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2016-03-11 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2016-03-11 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2018-10-30 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | The mod_tls module in ProFTPD before 1.3.5b and 1.3.6 before 1.3.6rc2 does not properly handle the TLSDHParamFile directive, which might cause a weaker than intended Diffie-Hellman (DH) key to be used and consequently allow attackers to have unspecified impact via unknown vectors. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 7.5 High (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) 6.5 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C)
4.6 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 5.0 Medium (CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-254 CWE-310 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Gain Access | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: CCN Type: Bugzilla Bug 4230 TLSDHParamFile directive appears ignored because unexpected DH is chosen Source: CONFIRM Type: Issue Tracking http://bugs.proftpd.org/show_bug.cgi?id=4230 Source: MITRE Type: CNA CVE-2016-3125 Source: FEDORA Type: Third Party Advisory FEDORA-2016-f95d8ea3ad Source: FEDORA Type: Third Party Advisory FEDORA-2016-977d57cf2d Source: FEDORA Type: UNKNOWN FEDORA-2016-ac3587be9a Source: SUSE Type: UNKNOWN openSUSE-SU-2016:1334 Source: SUSE Type: Third Party Advisory openSUSE-SU-2016:1558 Source: CONFIRM Type: Release Notes http://proftpd.org/docs/NEWS-1.3.5b Source: CONFIRM Type: Release Notes http://proftpd.org/docs/NEWS-1.3.6rc2 Source: CCN Type: oss-sec Mailing List, Fri, 11 Mar 2016 11:09:54 +0100 ProFTPD before 1.3.5b/1.3.6rc2 uses 1024 bit Diffie Hellman parameters for TLS even if user sets manual parameters Source: CCN Type: oss-sec Mailing List, Fri, 11 Mar 2016 11:49:48 -0500 (EST) Re: ProFTPD before 1.3.5b/1.3.6rc2 uses 1024 bit Diffie Hellman parameters for TLS even if user sets manual parameters Source: MLIST Type: Mailing List [oss-security] 20160311 Re: ProFTPD before 1.3.5b/1.3.6rc2 uses 1024 bit Diffie Hellman parameters for TLS even if user sets manual parameters Source: MLIST Type: Mailing List [oss-security] 20160311 ProFTPD before 1.3.5b/1.3.6rc2 uses 1024 bit Diffie Hellman parameters for TLS even if user sets manual parameters Source: CCN Type: ProFTPD Web site ProFTPD Source: XF Type: UNKNOWN proftpd-cve20163125-weak-sec(111467) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration 2: Configuration 3: Configuration CCN 1:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||