Компания Internet Security Systems (ISS) предупреждает (http://xforce.iss.net/xforce/alerts/id/180) о наличии критической уязвимости в библиотеке Netscape Network Security Services (NSS), входящей в состав многих широко распространенных программных продуктов. Данный компонент, разрабатывавшийся сооб
еством Mozilla Foundation, в частности, является одним из модулей таких пакетов, как Netscape Enterprise Server, Netscape Personalization Engine, Netscape Directory Server, Netscape Certificate Management Server и Sun One/iPlanet.
Как сообщается, проблема связана с неправильной обработкой SSLv2-пакетов (Secure Sockets Layer версия 2). Библиотека NSS не проверяет длину данных, содержащихся в поле “Hello Message”. Данная особенность может использоваться злоумышленниками для вызова ошибки переполнения буфера на удаленном компьютере и последующего выполнения на нем произвольного программного кода.
Следует заметить, что поддержка SSLv2 по умолчанию отключена в Netscape Enterprise Server и Sun One. Тем не менее, данный протокол очень широко применяется различными веб-службами при передаче важной информации через интернет, поэтому многие администраторы активируют поддержку SSLv2. Впрочем, сообщество Mozilla Foundation уже выпустило соответствующую заплатку и настоятельно рекомендует установить ее всем пользователям вышеназванных программных продуктов. Найти обновление можно на этой странице (ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM/), кроме того, защититься от возможных атак можно путем отключения протокола SSLv2.