Компания Internet Security Systems (ISS) предупреждает о наличии критической уязвимости в библиотеке Netscape Network Security Services (NSS), входящей в состав многих широко распространенных программных продуктов ("Компьюлента"). Данный компонент, разрабатывавшийся сообществом Mozilla Foundation, в частности, является одним из модулей таких пакетов, как Netscape Enterprise Server, Netscape Personalization Engine, Netscape Directory Server, Netscape Certificate Management Server и Sun One/iPlanet. Как сообщается, проблема связана с неправильной обработкой SSLv2-пакетов (Secure Sockets Layer версия 2). Библиотека NSS не проверяет длину данных, содержащихся в поле "Hello Message". Данная особенность может использоваться злоумышленниками для вызова ошибки переполнения буфера на удаленном компьютере и последующего выполнения на нем произвольного программного кода. Следует заметить, что поддержка SSLv2 по умолчанию отключена в Netscape Enterprise Server и Sun One. Тем не менее, данный протокол очень широко применяется различными веб-службами при передаче важной информации через интернет, поэтому многие администраторы активируют поддержку SSLv2. Впрочем, сообщество Mozilla Foundation уже выпустило соответствующую заплатку и настоятельно рекомендует установить ее всем пользователям вышеназванных программных продуктов. Найти обновление можно на этой странице, кроме того, защититься от возможных атак можно путем отключения протокола SSLv2.
Описание уязвимости