当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Mozilla Network Security Services安全限制绕过漏洞(CVE-2014-1569)

     发表日期:2015-01-07 09:39:54

Mozilla Network Security Services安全限制绕过漏洞(CVE-2014-1569)
BugTraq-ID:71675
CVE-ID:CVE-2014-1569
发布日期:2014-12-03
更新日期:2014-12-16
受影响系统:
Mozilla Network Security Services < 3.17.3
Mozilla Network Security Services < 3.16.2.4
详细信息:

网络安全服务(NSS)是一套用于跨平台开发启用了安全功能的客户端和服务器应用的库,用NSS编译的应用可以支持SSLv2、SSLv3、TLS等安全标准。

 

Mozilla Network Security Services (NSS) 3.16.2.4之前版本, 3.17.3之前版本,lib/util/quickder.c的definite_length_decoder函数没有确保ASN.1长度的DER编码正确形成,这可使远程攻击者通过长字节串的编码,利用此漏洞执行data-smuggling攻击。实例:SEC_QuickDERDecodeItem函数不正确处理任意长度的0x00编码。


来源:
Brian Smith
解决办法:
厂商补丁:

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

https://bugzilla.mozilla.org/show_bug.cgi?id=1064670

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.17.3_release_notes