Удаленное выполнение произвольного кода в Netscape Network Security Services (NSS)

Дата публикации:
25.08.2004
Всего просмотров:
1041
Опасность:
Критическая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Netscape Network Security Services (NSS)

Описание: Уязвимость обнаружена в Netscape Network Security Services (NSS) библиотеке. Удаленный пользователь может выполнить произвольный код на целевой системе.

Переполнение буфера обнаружено в обработке Secure Sockets Layer (SSL) пакетов 2 версии. Удаленный пользователь может эксплуатировать переполнение буфера в процессе установления SSLv2 подключения, чтобы выполнить произвольный код на уязвимой системе.

Библиотека не проверят длину данных, представленных пользователем в SSLv2 client hello сообщении. Уязвимы системы, использующие NSS библиотеку с SSLv2.

NSS библиотека используется в нескольких программных продуктов от Netscape, включая Enterprise Server (NES), Personalization Engine (NPE), Directory Server (NDS), и Certificate Management Server (CMS). Sun One/iPlanet также уязвим.

Согласно сообщению, SSLv2 отключена по умолчанию на Netscape Enterprise Server и Sun One.

Решение:Mozilla опубликовала исправление для NSS: ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM.

Ссылки: ISS Protection Brief: Netscape NSS Library Remote Compromise

или введите имя

CAPTCHA