Alert GCSA-09065 - Vulnerabilita' nelle librerie NSS
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09065
Data : 3 agosto 2009
Titolo : Vulnerabilita' nelle librerie NSS
******************************************************************
:: Descrizione del problema
Sono state individuate due vulnerabilita' nelle librerie Network
Security Services (NSS) che potrebbero essere sfruttate da un
attaccante remoto per bypassare le restrizioni di sicurezza e
compromettere un sistema vulnerabile.
La prima vulnerabilita' e' causata da un heap overflow che avviene
nel parser delle espressioni regolari al momento in cui si controlla
se il nome del sito web visitato corrisponde al Common Name (CN) del
certificato che questo presenta per l'identificazione.
La seconda vulnerabilita' e' causata da un errore nella gestione dei
caratteri NULL all'interno del CN di un certificato firmato
da una Certification Authority e puo' essere sfruttata per portare
attacchi di tipo man-in-the-middle.
:: Sistemi interessati
Network Security Services (NSS) versioni precedenti la 3.12.3
Firefox 3.0.x
Mozilla SeaMonkey 1.1.x
Mozilla Thunderbird 2.x
:: Impatto
security-bypass
compromissione del sistema
esecuzione remota di codice arbitrario
attacchi man-in-the-middle
:: Soluzioni
Aggiornare le librerie Network Security Services (NSS) alla versione 3.12.3:
http://www.mozilla.org/projects/security/pki/nss/#NSS_3_12_3
Aggiornare Firefox alla versione 3.5:
http://www.mozilla.com
:: Riferimenti
Mozilla Foundation Security Advisory
http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
VUPEN
http://www.vupen.com/english/advisories/2009/2085
Secunia - Mozilla Firefox NSS Multiple Vulnerabilities
http://secunia.com/advisories/36088/
Secunia - Mozilla Thunderbird / SeaMonkey NSS Vulnerabilities
http://secunia.com/advisories/36125/
Securityfocus
http://www.securityfocus.com/bid/35888
DOE-CIRC BULLETIN:
http://www.doecirc.energy.gov/bulletins/t-199.shtml
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2404
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSnbc6vOB+SpikaiRAQIymQP+IXL097dswv8d9eHBHhREBvd+GpEaANOR
m3xm923O7iUrfpaA201LbqNcmVisWCKgtf4sSw6r7Tk0gYs3f15PEvhIskgj8ZLa
7AEDCljxRb9DZGEHM8OqZlJ7S+6VVwFrj35a9iK+Mb3WwqtYRecwoM0yLMaw5Wz2
AwQA8vz2tKA=
=BI/r
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09065
Data : 3 agosto 2009
Titolo : Vulnerabilita' nelle librerie NSS
******************************************************************
:: Descrizione del problema
Sono state individuate due vulnerabilita' nelle librerie Network
Security Services (NSS) che potrebbero essere sfruttate da un
attaccante remoto per bypassare le restrizioni di sicurezza e
compromettere un sistema vulnerabile.
La prima vulnerabilita' e' causata da un heap overflow che avviene
nel parser delle espressioni regolari al momento in cui si controlla
se il nome del sito web visitato corrisponde al Common Name (CN) del
certificato che questo presenta per l'identificazione.
La seconda vulnerabilita' e' causata da un errore nella gestione dei
caratteri NULL all'interno del CN di un certificato firmato
da una Certification Authority e puo' essere sfruttata per portare
attacchi di tipo man-in-the-middle.
:: Sistemi interessati
Network Security Services (NSS) versioni precedenti la 3.12.3
Firefox 3.0.x
Mozilla SeaMonkey 1.1.x
Mozilla Thunderbird 2.x
:: Impatto
security-bypass
compromissione del sistema
esecuzione remota di codice arbitrario
attacchi man-in-the-middle
:: Soluzioni
Aggiornare le librerie Network Security Services (NSS) alla versione 3.12.3:
http://www.mozilla.org/projects/security/pki/nss/#NSS_3_12_3
Aggiornare Firefox alla versione 3.5:
http://www.mozilla.com
:: Riferimenti
Mozilla Foundation Security Advisory
http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
VUPEN
http://www.vupen.com/english/advisories/2009/2085
Secunia - Mozilla Firefox NSS Multiple Vulnerabilities
http://secunia.com/advisories/36088/
Secunia - Mozilla Thunderbird / SeaMonkey NSS Vulnerabilities
http://secunia.com/advisories/36125/
Securityfocus
http://www.securityfocus.com/bid/35888
DOE-CIRC BULLETIN:
http://www.doecirc.energy.gov/bulletins/t-199.shtml
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2404
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSnbc6vOB+SpikaiRAQIymQP+IXL097dswv8d9eHBHhREBvd+GpEaANOR
m3xm923O7iUrfpaA201LbqNcmVisWCKgtf4sSw6r7Tk0gYs3f15PEvhIskgj8ZLa
7AEDCljxRb9DZGEHM8OqZlJ7S+6VVwFrj35a9iK+Mb3WwqtYRecwoM0yLMaw5Wz2
AwQA8vz2tKA=
=BI/r
-----END PGP SIGNATURE-----