Risque

  • Exécution de code arbitraire

Systèmes affectés

Tous les produits utilisant la bibliothèque NSS.

Résumé

Une vulnérabilité de la bibliothèque NSS permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur un système vulnérable.

Description

NSS (Network Security Services) est une bibliothèque utilisée pour mettre en oeuvre les communications SSL (Secure Socket Layer).

Elle est principalement utilisée par les serveurs suivants :

  • Netscape Enterprise Server ;
  • Netscape Personalization Engine ;
  • Netscape Directory Server ;
  • Netscape Certificate Management Server ;
  • Sun One/iPlanet ;
  • Sun Java System Web Server.

Une vulnérabilité de type débordement de mémoire a été découverte dans la gestion de la négociation des communications SSlv2 par la bibliothèque NSS.

Cette vulnérabilité permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le serveur vulnérable. L'attaquant obtiendra les privilèges de l'application utilisant la bibliothèque NSS.

Contournement provisoire

Désactiver le support SSLv2.

Solution

La version 3.9.2 de NSS corrige cette vulnérabilité. Elle est disponible à l'adresse suivante :

ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM/

Documentation