Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Network Security Services (NSS) - это набор библиотек, которые созданы для поддержки межплатформенной разработки клиентских и серверных приложений с учетом безопасности. Приложения, скомпилированные с NSS, могут поддерживать SSLv2, SSLv3, TLS и другие стандарты безопасности.
Netscape Portable Runtime (NSPR) предоставляет платформо-независимые функции для не-GUI операционных систем, включающие в себя работу с потоками, синхронизацию потоков, сетевой и файловый ввод/вывод, основные функции работы с памятью (malloc и free) и работу с общими библиотеками.
Ошибка обнаружена в протоколах TLS/SSL (Transport Layer Security/Secure Sockets Layer) при повторном установлении соединения. Злоумышленник может использовать эту уязвимость, чтобы подбавить произвольный текст в сессию клиента (например, HTTPS-подключение к веб-сайту). Это может заставить пользователя обработать запрос злоумышленника как аутентифицированный, используя учетные данные жертвы. Данное обновление реализует TLS Renegotiation Indication Extension, как указано в RFC 5746. (CVE-2009-3555)
Следующая статья из базы знаний содержит технические подробности: http://kbase.redhat.com/faq/docs/DOC-20491
http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491
/> Пользователи Red Hat Certificate System версий 7.3 и 8.0 должны обратиться к данным, представленным по следующей ссылке, до установки обновления: http://kbase.redhat.com/faq/docs/DOC-28439
http://kbase.redhat.com/faq/docs/DOC-28439">http://kbase.redhat.com/faq/docs/DOC-28439
/> Всем пользователям NSS рекомендуется обновить свое программное обеспечение до версии 3.12.6. Данное исправление также обновляет пакет NSPR до версии NSS 3.12.6. Все запущенные приложения, которые используют библиотеку NSS, необходимо перезапустить, чтобы изменения вступили в силу.
Netscape Portable Runtime (NSPR) предоставляет платформо-независимые функции для не-GUI операционных систем, включающие в себя работу с потоками, синхронизацию потоков, сетевой и файловый ввод/вывод, основные функции работы с памятью (malloc и free) и работу с общими библиотеками.
Ошибка обнаружена в протоколах TLS/SSL (Transport Layer Security/Secure Sockets Layer) при повторном установлении соединения. Злоумышленник может использовать эту уязвимость, чтобы подбавить произвольный текст в сессию клиента (например, HTTPS-подключение к веб-сайту). Это может заставить пользователя обработать запрос злоумышленника как аутентифицированный, используя учетные данные жертвы. Данное обновление реализует TLS Renegotiation Indication Extension, как указано в RFC 5746. (CVE-2009-3555)
Следующая статья из базы знаний содержит технические подробности: http://kbase.redhat.com/faq/docs/DOC-20491
http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491
/> Пользователи Red Hat Certificate System версий 7.3 и 8.0 должны обратиться к данным, представленным по следующей ссылке, до установки обновления: http://kbase.redhat.com/faq/docs/DOC-28439
http://kbase.redhat.com/faq/docs/DOC-28439">http://kbase.redhat.com/faq/docs/DOC-28439
/> Всем пользователям NSS рекомендуется обновить свое программное обеспечение до версии 3.12.6. Данное исправление также обновляет пакет NSPR до версии NSS 3.12.6. Все запущенные приложения, которые используют библиотеку NSS, необходимо перезапустить, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0165.html
https://rhn.redhat.com/errata/RHSA-2011-0165.html
Ссылки
CVE (CVE-2009-3555): https://www.redhat.com/security/data/cve/CVE-2009-3555.html
BUGZILLA (533125): http://bugzilla.redhat.com/533125
Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
BUGZILLA (533125): http://bugzilla.redhat.com/533125
Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555