Érintett rendszerek
MozillaNetwork Security Services (NSS)
Érintett verziók
Mozilla Network Security Services (NSS) 3.x
Összefoglaló
A Network Security Services néhány sérülékenységét jelentették, amelyet támadók kihasználhatnak bizonyos biztonsági korlátozások megkerüléséhez vagy a sérülékeny rendszer feltöréséhez.
Leírás
Néhány sérülékenységet jelentettek a a Network Security Services-ben, amelyet a rosszindulatú támadók kihasználhatnak bizonyos biztonsági korlátozások megkerüléséhez vagy a sérülékeny rendszer feltöréséhez.
- Tanúsítványokban lévő köznevek (common name, CN) vizsgálatakor, a reguláris kifejezések szintaktikai elemzőjében hiba jelentkezik, amely kihasználható halom túlcsordulás előidézéséhez, pl. egy megbízható tanúsítvány kibocsájtó (CA) által aláírt, speciálisan elkészített tanúsítvány segítségével vagy ha a felhasználó elfogad egy speciálisan elkészített tanúsítványt.
A sikeres kihasználás tetszőleges kód futtatását teheti lehetővé.
- Bizonyos tanúsítványmezők feldolgozásakor hiba jelentkezik, amelyet kihasználva pl. rávehető egy felhasználó egy speciálisan elkészített tanúsítvány elfogadására.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: bugzilla.redhat.com
Gyártói referencia: bugzilla.redhat.com
CVE-2009-2404 - NVD CVE-2009-2404
CVE-2009-2408 - NVD CVE-2009-2408
SECUNIA 36093