Sicherheitsloch in Netscapes SSL-Bibliothek
Das Sicherheitsunternehmen Internet Security Systems meldet eine kritische SicherheitslĂĽcke in der SSL-Bibliothek Netscape Network Security Services (NSS).
Das Sicherheitsunternehmen Internet Security Systems meldet eine kritische Sicherheitslücke in Netscapes SSL-Bibliothek für verschlüsselte Verbindungen zu einem Web-Server. Laut ISS können Angreifer beliebigen Code auf Servern mit Netscape Network Security Services (NSS) einschleusen, da die Länge von "Hello"-Messages nicht korrekt überprüft wird. Dadurch kann ein Buffer Overflow auftreten.
Betroffen sind laut ISS alle mit NSS laufenden Systeme, darunter Netscape Enterprise Server (NES), Directory Server (NDS), Personalization Engine (NPE) und Certificate Management Server (CMS) in jeweils allen Versionen. Auch Sun ONE/iPlanet setzt NSS ein und ist damit verwundbar. Allerdings kann die Schwachstelle laut ISS nur dann ausgenutzt werden, wenn SSLv2 aktiviert ist -- das ist zumindest bei Sun ONE/iPlanet und beim Netscape Enterprise Server standardmäßig nicht der Fall.
Die Programmierer beim Mozilla-Projekt, das aus dem ursprĂĽnglichen Netscape-Code die eigenen Open-Source-Anwendungen entwickelte, haben einen Patch entwickelt, der das Problem behebt. Er steht auf den Mozilla-Downloadseiten zur VerfĂĽgung.
Siehe dazu auch: (pab)
- Advisory von Internet Security Systems
- Patches fĂĽr NSS von Mozilla (FTP)
- NSS-Homepage
