Luka w NSS

Internet Security Systems (ISS) ostrzega swoich klientów przed krytycznym błędem wykrytym w technologii opracowanej przez Mozilla Foundation nazwanej Netscape Network Security Services (NSS). Biblioteka pozwala przeprowadzić zdalny atak przeciwko serwerom stron.

Netscape Network Security Services (NSS) jest implementacją biblioteki Secure Sockets Layer Version 2 (SSLv2). Podatne na błąd są Netscape Enterprise Server i Sun Java System Web Server, jednak podatność może dotyczyć również innych systemów wykorzystujących bibliotekę open-source NSS.

Problem występuję gdy biblioteka NSS wysyła zapytanie o nową sesję SSLv2. Serwer nie sprawdza długości rekordu w pierwszej części komunikacji między dwoma systemami.

Hackerzy mogą wykorzystać nie sprawdzenie długości rekordu i uruchomić niebezpieczny kod w podatnym systemie.

Przeprowadzenie pomyślnego ataku umożliwia dostęp do systemu z przywilejami użytkownika, który uruchomił serwer web.

Mozilla Foundation udostępniła stosowną poprawkę dla biblioteki NSS dostępną pod tym adresem.

Źródło informacji: InfoWorld