Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
nspr
(Unknown)
Описание
Библиотека Network Security Services (NSS) при использовании в Firefox; GnuTLS; OpenSSL и других продуктах поддерживает MD2 с сертификатами X.509, что может позволить злоумышленникам, действующим удаленно, подменить сертификаты, используя ошибки MD2 для генерации хэш-коллизий, чтобы сократить время подбора. Замечание: возможности эксплуатации данной уязвимости ограничены, т.к. для ее использования необходимо провести значительное количество вычислений.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/projects/security/pki/nss/
http://www.mozilla.org/projects/security/pki/nss/
Ссылки
CONFIRM (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-2409): https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-2409
VUPEN (ADV-2009-2085): http://www.vupen.com/english/advisories/2009/2085
UBUNTU (USN-810-2): http://www.ubuntulinux.org/support/documentation/usn/usn-810-2
UBUNTU (USN-810-1): http://www.ubuntu.com/usn/usn-810-1
SECTRACK (1022631): http://www.securitytracker.com/id?1022631
REDHAT (RHSA-2009:1207): http://www.redhat.com/support/errata/RHSA-2009-1207.html
MANDRIVA (MDVSA-2009:197): http://www.mandriva.com/security/advisories?name=MDVSA-2009:197
VUPEN (ADV-2009-2085): http://www.vupen.com/english/advisories/2009/2085
UBUNTU (USN-810-2): http://www.ubuntulinux.org/support/documentation/usn/usn-810-2
UBUNTU (USN-810-1): http://www.ubuntu.com/usn/usn-810-1
SECTRACK (1022631): http://www.securitytracker.com/id?1022631
REDHAT (RHSA-2009:1207): http://www.redhat.com/support/errata/RHSA-2009-1207.html
MANDRIVA (MDVSA-2009:197): http://www.mandriva.com/security/advisories?name=MDVSA-2009:197