• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0165-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0165-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
nspr (any) nspr-devel (any) nss (any) nss-devel (any) nss-pkcs11-devel (any) nss-tools (any)
Описание
Network Security Services (NSS) - это набор библиотек, которые созданы для поддержки межплатформенной разработки клиентских и серверных приложений с учетом безопасности. Приложения, скомпилированные с NSS, могут поддерживать SSLv2, SSLv3, TLS и другие стандарты безопасности.
Netscape Portable Runtime (NSPR) предоставляет платформо-независимые функции для не-GUI операционных систем, включающие в себя работу с потоками, синхронизацию потоков, сетевой и файловый ввод/вывод, основные функции работы с памятью (malloc и free) и работу с общими библиотеками.
Ошибка обнаружена в протоколах TLS/SSL (Transport Layer Security/Secure Sockets Layer) при повторном установлении соединения. Злоумышленник может использовать эту уязвимость, чтобы подбавить произвольный текст в сессию клиента (например, HTTPS-подключение к веб-сайту). Это может заставить пользователя обработать запрос злоумышленника как аутентифицированный, используя учетные данные жертвы. Данное обновление реализует TLS Renegotiation Indication Extension, как указано в RFC 5746. (CVE-2009-3555)
Следующая статья из базы знаний содержит технические подробности: http://kbase.redhat.com/faq/docs/DOC-20491http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491 /> Пользователи Red Hat Certificate System версий 7.3 и 8.0 должны обратиться к данным, представленным по следующей ссылке, до установки обновления: http://kbase.redhat.com/faq/docs/DOC-28439http://kbase.redhat.com/faq/docs/DOC-28439">http://kbase.redhat.com/faq/docs/DOC-28439 /> Всем пользователям NSS рекомендуется обновить свое программное обеспечение до версии 3.12.6. Данное исправление также обновляет пакет NSPR до версии NSS 3.12.6. Все запущенные приложения, которые используют библиотеку NSS, необходимо перезапустить, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0165.html
Ссылки
CVE (CVE-2009-3555): https://www.redhat.com/security/data/cve/CVE-2009-3555.html
BUGZILLA (533125): http://bugzilla.redhat.com/533125

Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555