CH azonosító
CH-5816Angol cím
Network Security Services Insecure Library Loading VulnerabilityFelfedezés dátuma
2011.10.20.Súlyosság
KözepesÉrintett rendszerek
MozillaNetwork Security Services (NSS)
Érintett verziók
Network Security Services (NSS) 3.x
Összefoglaló
A Network Security Services (NSS) olyan sérülékenysége vált ismertté, melyet kihasználva a támadók feltörhetik a könyvtárat használó alkalmazást.
Leírás
A sérülékenységet az okozza, hogy az “NSS_NoDB_Init()” függvény nem megfelelően hozza létre a “pkcs11.txt” konfigurációs fájl elérési útvonalát. Ez kihasználható tetszőleges biztonsági modul betöltésére a “library” direktíva segítségével egy távoli WebDAV vagy SMB megosztáson található konfigurációs fájl betöltésekor.
Sikeres kihasználás esetén tetszőleges kód futtatható.
Megoldás
Javítva a fejlesztői verzióban.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 46557
Gyártói referencia: bugzilla.mozilla.org
Egyéb referencia: code.google.com