Open Source im professionellen Einsatz

Network Security Services: Lokaler Angreifer kann Befehle ausführen

Die Network Security Services sind eine Ansammlung verschiedener Programmbibliotheken, die Routinen für die sichere Kommunikation zwischen Client- und Server-Programmen bereitstellt. Vorwiegend werden diese von Mozilla-Produkten wie Firefox und Thunderbird verwendet, um sichere Verbindungen über SSL, TLS, S/MIME und PKCS aufzubauen. DAbei kommen verschiedene Krypto-Algorithmen zum Einsatz.

Kürzlich wurden in den Network Security Services (NSS) verscheidene Sicherheitslücken entdeckt. Durch diese Schwachstellen kann ein lokaler Angreifer höhere Rechte auf dem System erlangen. Im Einzelnen sind folgende Routinen fehlerhaft:

  • Fehler beim Verarbeiten der »cert8.db«-Datei mit dem NSS certutil-Programm
  • Ein Heap-Overflow-Fehler in der »alloc_segs()-Funktion (»lib/dbm/src/hash.c«)
  • Ein Heap-Overflow-Fehler in der »__hash_open()«-Funktion (»lib/dbm/src/hash.c«)
  • Floating-Point-Ausnahme in der »__hash_open()«-Funktion (»hash.c«)
  • Ein Heap-Overflow-Fehler in »__get_page()«-Funktion (»lib/dbm/src/h_page.c«)

Die Fehler befinden sich im Changeset 13315:769f9ae07b10.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.