Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
В библиотеках Network Security Services (NSS) Mozilla Foundation существует уязвимость, связанная с переполнением. Эта уязвимость возникает из-за некорректной обработки ошибок в той части кода Network Security Services (NSS), которая реализует работу с Client Master Key. Злоумышленник может воспользоваться этой уязвимостью, используя специально сформированный сертификат SSLv2, содержащий Client Master Key неверной длины. Это может привести к переполнению буфера в стеке, что позволит злоумышленнику вызвать аварийное завершение работы сервера или выполнить произвольный код в контексте данного сервера.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/
http://www.mozilla.org/
Ссылки
http://www.mozilla.org/security/announce/2007/mfsa2007-06.html
IDEFENSE (20070223 Mozilla Network Security Services SSLv2 Server Stack Overflow Vulnerability): http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=483
https://bugzilla.mozilla.org/show_bug.cgi?id=364323
BUGTRAQ (20070226 rPSA-2007-0040-1 firefox): http://www.securityfocus.com/archive/1/archive/1/461336/100/0/threaded
BUGTRAQ (20070303 rPSA-2007-0040-3 firefox thunderbird): http://www.securityfocus.com/archive/1/archive/1/461809/100/0/threaded
https://issues.rpath.com/browse/RPL-1081
https://issues.rpath.com/browse/RPL-1103
FEDORA (FEDORA-2007-278): http://fedoranews.org/cms/node/2709
FEDORA (FEDORA-2007-279): http://fedoranews.org/cms/node/2711
GENTOO (GLSA-200703-18): http://security.gentoo.org/glsa/glsa-200703-18.xml
GENTOO (GLSA-200703-22): http://www.gentoo.org/security/en/glsa/glsa-200703-22.xml
MANDRIVA (MDKSA-2007:050): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:050
MANDRIVA (MDKSA-2007:052): http://www.mandriva.com/security/advisories?name=MDKSA-2007:052
REDHAT (RHSA-2007:0079): http://www.redhat.com/support/errata/RHSA-2007-0079.html
REDHAT (RHSA-2007:0077): http://rhn.redhat.com/errata/RHSA-2007-0077.html
REDHAT (RHSA-2007:0078): http://www.redhat.com/support/errata/RHSA-2007-0078.html
REDHAT (RHSA-2007:0097): http://www.redhat.com/support/errata/RHSA-2007-0097.html
REDHAT (RHSA-2007:0108): http://www.redhat.com/support/errata/RHSA-2007-0108.html
SUSE (SUSE-SA:2007:019): http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html
UBUNTU (USN-428-1): http://www.ubuntu.com/usn/usn-428-1
UBUNTU (USN-431-1): http://www.ubuntu.com/usn/usn-431-1
CERT-VN (VU#592796): http://www.kb.cert.org/vuls/id/592796
FRSIRT (ADV-2007-0719): http://www.frsirt.com/english/advisories/2007/0719
FRSIRT (ADV-2007-0718): http://www.frsirt.com/english/advisories/2007/0718
OSVDB (32106): http://www.osvdb.org/32106
SECTRACK (1017696): http://www.securitytracker.com/id?1017696
XF (nss-clientmasterkey-bo(32663)): http://xforce.iss.net/xforce/xfdb/32663
SUNALERT (102856): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102856-1
FRSIRT (ADV-2007-1165): http://www.frsirt.com/english/advisories/2007/1165
SGI (20070301-01-P): ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc
IDEFENSE (20070223 Mozilla Network Security Services SSLv2 Server Stack Overflow Vulnerability): http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=483
https://bugzilla.mozilla.org/show_bug.cgi?id=364323
BUGTRAQ (20070226 rPSA-2007-0040-1 firefox): http://www.securityfocus.com/archive/1/archive/1/461336/100/0/threaded
BUGTRAQ (20070303 rPSA-2007-0040-3 firefox thunderbird): http://www.securityfocus.com/archive/1/archive/1/461809/100/0/threaded
https://issues.rpath.com/browse/RPL-1081
https://issues.rpath.com/browse/RPL-1103
FEDORA (FEDORA-2007-278): http://fedoranews.org/cms/node/2709
FEDORA (FEDORA-2007-279): http://fedoranews.org/cms/node/2711
GENTOO (GLSA-200703-18): http://security.gentoo.org/glsa/glsa-200703-18.xml
GENTOO (GLSA-200703-22): http://www.gentoo.org/security/en/glsa/glsa-200703-22.xml
MANDRIVA (MDKSA-2007:050): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:050
MANDRIVA (MDKSA-2007:052): http://www.mandriva.com/security/advisories?name=MDKSA-2007:052
REDHAT (RHSA-2007:0079): http://www.redhat.com/support/errata/RHSA-2007-0079.html
REDHAT (RHSA-2007:0077): http://rhn.redhat.com/errata/RHSA-2007-0077.html
REDHAT (RHSA-2007:0078): http://www.redhat.com/support/errata/RHSA-2007-0078.html
REDHAT (RHSA-2007:0097): http://www.redhat.com/support/errata/RHSA-2007-0097.html
REDHAT (RHSA-2007:0108): http://www.redhat.com/support/errata/RHSA-2007-0108.html
SUSE (SUSE-SA:2007:019): http://lists.suse.com/archive/suse-security-announce/2007-Mar/0001.html
UBUNTU (USN-428-1): http://www.ubuntu.com/usn/usn-428-1
UBUNTU (USN-431-1): http://www.ubuntu.com/usn/usn-431-1
CERT-VN (VU#592796): http://www.kb.cert.org/vuls/id/592796
FRSIRT (ADV-2007-0719): http://www.frsirt.com/english/advisories/2007/0719
FRSIRT (ADV-2007-0718): http://www.frsirt.com/english/advisories/2007/0718
OSVDB (32106): http://www.osvdb.org/32106
SECTRACK (1017696): http://www.securitytracker.com/id?1017696
XF (nss-clientmasterkey-bo(32663)): http://xforce.iss.net/xforce/xfdb/32663
SUNALERT (102856): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102856-1
FRSIRT (ADV-2007-1165): http://www.frsirt.com/english/advisories/2007/1165
SGI (20070301-01-P): ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc
