漏洞关键信息 漏洞名称: Mozilla Network Security Service: Remote execution of arbitrary code GLSA编号: 200703-22 发布时间: 2007年3月20日 最新修订时间: 2007年3月20日 影响的包: dev-libs/nss - 受影响版本: = 3.11.5 漏洞严重程度: normal 可利用方式: remote 背景 Mozilla Network Security Service 是一个实现如 SSL v2/v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME 和 X.509 证书等安全特性的库。 描述 IDefense 报告了两个在实现 SSLv2 协议的代码中由研究员 "regenrecht" 发现的潜在缓冲区溢出漏洞。 影响 远程攻击者可以发送一个特制的 SSL 主密钥给使用 NSS 的 SSLv2 协议的服务器,或引诱使用 NSS(如 Mozilla 产品的客户端应用)的用户连接到恶意服务器,这可以触发漏洞并导致以漏洞应用的权限执行任意代码。 解决方案 所有 NSS 用户应升级到最新版本: 参考文献 CVE-2007-0008 CVE-2007-0009 Bugzilla Entry 165555