ISS descubre un fallo de seguridad en la biblioteca NSS de Netscape

ISS publicó un boletín de seguridad ayer acerca del fallo en implementación de la biblioteca NSS en el protocolo SSLv2 (Secure Sockets Layer version 2), que podría permitir a un atacante remoto utilizar la conexión SSLv2 para hacerse con el control de los servidores web utilizando la biblioteca NSS.

El problema reside en un fallo en la forma en que la biblioteca NSS gestiona las peticiones para nuevas sesiones SSLv2. Los servidores que utilizan esta biblioteca no revisan la longitud de un campo determinado en la primera parte de la negociación entre dos sistemas que tratan de poner en marcha una sesión SSLv2. Cualquier hacker podría utilizar la falta de esta revisión de longitud para provocar un fallo de desbordamiento, que le permitiría poner en marcha un código malicioso en un servidor vulnerable.

Este fallo afecta al servidor Sun Java System y al Netscape Enterprise, además de al motor de personalización de Netscape.

La Fundación Mozilla ha creado un parche que se puede descargar en ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM.