Множественные уязвимости в Network Security Services
| Дата публикации: | 06.08.2009 |
| Всего просмотров: | 3326 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2009-2404 CVE-2009-2408 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Mozilla Network Security Services (NSS) 3.x |
| Уязвимые версии: Network Security Services версии до 3.12.3
Описание: 1. Уязвимость существует из-за ошибки в обработчике регулярных выражений при сравнении общих имен в сертификатах. Удаленный пользователь может с помощью специально сформированного сертификата, подписанного CA, или сертификата, принятого пользователем, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за ошибки при обработке определенных полей в сертификате. Злоумышленник может обманом заставить пользователя принять специально сформированный сертификат. URL производителя: www.mozilla.org/projects/security/pki/nss/ Решение: Установите последнюю версию 3.12.3 или выше с сайта производителя. |
|
| Ссылки: |
MFSA 2009-42: Compromise of SSL-protected communication MFSA 2009-43: Heap overflow in certificate regexp parsing |
|
|
https://bugzilla.redhat.com/show_bug.cgi?id=512912 https://bugzilla.redhat.com/show_bug.cgi?id=510251 |