Lek ontdekt in Netscape Network Security Services
Woensdag, 25 augustus 2004 - webwereld.nl: Experts hebben een lek ontdekt in de Netscape Network Security Services (NSS) library, een veelgebruikte technologie van de Mozilla Foundation.
Het lek is ontdekt door het Amerikaanse beveiligingsbedrijf Internet Security Systems (ISS) en heeft betrekking op de manier waarop NSS omgaat met het SSLv2-protocol (Secure Sockets Layer Version 2). Hackers die misbruik weten te maken van het lek zouden op afstand een server kunnen overnemen.
Volgens ISS zijn de Enterprise Server van Netscape en de Java System Web Server van Sun in ieder geval vatbaar voor het lek. De onderzoekers waarschuwen ervoor dat mogelijk ontelbaar veel andere producten, die gebruikmaken van de open-source NSS-library, ook gevoelig zijn voor het lek.
De onderzoekers hebben ontdekt dat servers met de bewuste NSS-library bij het opstarten van een via ssl beveiligde verbinding tussen twee systemen de noodzakelijke 'kennismakingsprocedure' - via het zogenoemde handshake protocol - niet goed doorlopen. Kwaadwillenden zouden hier misbruik van kunnen maken en zodoende controle over de server kunnen krijgen.
De Mozilla Foundation heeft inmiddels een patch ontwikkeld voor de NSS-library om het lek in SSLv2 te dichten. Deze is te downloaden vanaf de website van de organisatie.
Woensdag, 25 augustus 2004 - webwereld.nl: Experts hebben een lek ontdekt in de Netscape Network Security Services (NSS) library, een veelgebruikte technologie van de Mozilla Foundation.
Het lek is ontdekt door het Amerikaanse beveiligingsbedrijf Internet Security Systems (ISS) en heeft betrekking op de manier waarop NSS omgaat met het SSLv2-protocol (Secure Sockets Layer Version 2). Hackers die misbruik weten te maken van het lek zouden op afstand een server kunnen overnemen.
Volgens ISS zijn de Enterprise Server van Netscape en de Java System Web Server van Sun in ieder geval vatbaar voor het lek. De onderzoekers waarschuwen ervoor dat mogelijk ontelbaar veel andere producten, die gebruikmaken van de open-source NSS-library, ook gevoelig zijn voor het lek.
De onderzoekers hebben ontdekt dat servers met de bewuste NSS-library bij het opstarten van een via ssl beveiligde verbinding tussen twee systemen de noodzakelijke 'kennismakingsprocedure' - via het zogenoemde handshake protocol - niet goed doorlopen. Kwaadwillenden zouden hier misbruik van kunnen maken en zodoende controle over de server kunnen krijgen.
De Mozilla Foundation heeft inmiddels een patch ontwikkeld voor de NSS-library om het lek in SSLv2 te dichten. Deze is te downloaden vanaf de website van de organisatie.
