ISS descubre un fallo de seguridad en la biblioteca NSS de Netscape
Internet Security Systems ha avisado a sus clientes acerca de la existencia de un agujero de seguridad en una tecnología bastante utilizada de la Fundación Mozilla, llamada biblioteca NSS (Network Security Services) de Netscape, un fallo que podría hacer que los servidores web sean vulnerables a posibles ataques.
El problema reside en un fallo en la forma en que la biblioteca NSS gestiona las peticiones para nuevas sesiones SSLv2. Los servidores que utilizan esta biblioteca no revisan la longitud de un campo determinado en la primera parte de la negociación entre dos sistemas que tratan de poner en marcha una sesión SSLv2. Cualquier hacker podría utilizar la falta de esta revisión de longitud para provocar un fallo de desbordamiento, que le permitiría poner en marcha un código malicioso en un servidor vulnerable.
Este fallo afecta al servidor Sun Java System y al Netscape Enterprise, además de al motor de personalización de Netscape.
La Fundación Mozilla ha creado un parche que se puede descargar en ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM.