Уязвимость отказа в обслуживании (DoS) в Mozilla Network Security Services (NSS) из-за некорректного ограничения инициируемой клиентом повторной согласований в протоколах SSL и TLS
Описание
Обнаружена уязвимость в Mozilla Network Security Services (NSS), связанная с определёнными настройками параметра SSL_ENABLE_RENEGOTIATION. Проблема заключается в том, что библиотека не ограничивает инициируемую клиентом повторную согласование в рамках протоколов SSL и TLS должным образом. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (чрезмерное потребление ресурсов процессора) путём выполнения множества повторных согласований в рамках одного соединения. Данная уязвимость отличается от CVE-2011-1473.
Примечание: можно также утверждать, что ответственность за предотвращение или ограничение повторных согласований в случае их неприемлемости в конкретной среде лежит на настройках сервера, а не на библиотеке безопасности.
Затронутые версии ПО
- Mozilla Network Security Services (NSS) 3.x
Тип уязвимости
- Чрезмерное потребление ресурсов процессора (CPU consumption)
- Отказ в обслуживании (DoS)
Идентификаторы
- Связанная проблема: CVE-2
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 4 | nss | Will not fix | ||
| Red Hat Enterprise Linux 5 | nss | Will not fix | ||
| Red Hat Enterprise Linux 6 | nss | Will not fix |
Показывать по
Дополнительная информация
Статус:
EPSS
4.3 Medium
CVSS2
Связанные уязвимости
Mozilla Network Security Services (NSS) 3.x, with certain settings of the SSL_ENABLE_RENEGOTIATION option, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-1473. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment
Mozilla Network Security Services (NSS) 3.x, with certain settings of the SSL_ENABLE_RENEGOTIATION option, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-1473. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment
Mozilla Network Security Services (NSS) 3.x, with certain settings of ...
** DISPUTED ** Mozilla Network Security Services (NSS) 3.x, with certain settings of the SSL_ENABLE_RENEGOTIATION option, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-1473. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment.
EPSS
4.3 Medium
CVSS2