Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Sårbarhet, Webbläsare, Mozilla, krypto, protokoll

SR09-137 Mozilla - Sårbarheter i Network Security Services (NSS)

Ett flertal sårbarheter har upptäckts i NSS som kan leda till att förfalskade certifikat används eller kod exekveras på ett sårbart system.

Problembeskrivning

CVE-referens: CVE-2009-2408 CVE-2009-2404 CVE-2009-2409

Dan Kaminsky och Moxie Marlinspike har upptäckt flera sårbarheter i kod-biblioteket Network Security Services (NSS) från Mozilla. NSS används bland annat av OpenSSL, GnuTLS och Mozilla Firefox.

Sårbarheterna går att utnyttja för att förfalska SSL-certifikat (CVE-2009-2409 och CVE-2009-2408) men även exekvera kod på ett sårbart system (CVE-2009-2404).

Bland Mozillas produkter är Firefox, Thunderbird, SeaMonkey och NSS sårbara. Version 3.5 av Firefox samt 3.12.3 är NSS är dock ej sårbara.

Påverkade versioner

  • Firefox innan version 3.5
  • NSS innan version 3.12.3

Mer information och programrättningar

http://www.mozilla.org/projects/security/pki/nss/
http://www.h-online.com/security/SSL-flaw-revealed-at-Black-Hat--/news/113880
http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf
https://bugzilla.redhat.com/show_bug.cgi?id=510251
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-2409
http://secunia.com/advisories/36093/
http://www.securitytracker.com/alerts/2009/Jul/1022632.html
http://www.securitytracker.com/alerts/2009/Jul/1022633.html
http://www.securitytracker.com/alerts/2009/Jul/1022631.html
http://www.securityfocus.com/bid/35888
http://www.securityfocus.com/bid/35891
http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
http://www.mozilla.org/security/announce/2009/mfsa2009-43.html