Nss
Уязвимости
82
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
5
Высокий
25
Средний
44
Низкий
8
Также сопоставлено как (исходные строки): nss
Топ уязвимостей
CVE-2026-2781Отказ в обслуживании в Mozilla Firefox и Thunderbird ESR
CVE-2021-43527NSS (Network Security Services) версий до 3.73 или 3.68.1 ESR уязвим для переполнения кучи при обработке DSA или RSA-PSS подписей в кодировке DER. Приложения, использующие NSS для обработки подписей, закодированных в CMS, S/MIME, PKCS \#7 или PKCS \#12, скорее всего, будут затронуты. Приложения, использующие NSS для проверки сертификатов или других функций TLS, X.509, OCSP или CRL, могут быть затронуты, в зависимости от того, как они настраивают NSS. *Примечание: Эта уязвимость НЕ влияет на Mozilla Firefox.* Однако почтовые клиенты и программы просмотра PDF-файлов, использующие NSS для проверки подписи, такие как Thunderbird, LibreOffice, Evolution и Evince, предположительно, подвержены этой уязвимости. Эта уязвимость затрагивает NSS \u003c 3.73 и NSS \u003c 3.68.1.
CVE-2017-5461Mozilla Network Security Services (NSS) до версий 3.21.4, 3.22.x - 3.28.x до 3.28.4, 3.29.x до 3.29.5 и 3.30.x до 3.30.1 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (запись за границами буфера) или, возможно, оказывать другое не указанное воздействие за счет использования некорректных операций base64.
CVE-2015-7182Переполнение буфера на основе кучи в декодере ASN.1 в Mozilla Network Security Services (NSS) до версии 3.19.2.1 и 3.20.x до версии 3.20.1, используемом в Firefox до версии 42.0 и Firefox ESR 38.x до версии 38.4 и других продуктах, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой приложения) или, возможно, выполнить произвольный код через специально созданные данные OCTET STRING.
CVE-2009-3555Протокол TLS, а также протокол SSL 3.0 и, возможно, более ранние версии, используемые в Microsoft Internet Information Services (IIS) 7.0, mod_ssl в Apache HTTP Server 2.2.14 и более ранних версиях, OpenSSL до 0.9.8l, GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) 3.12.4 и более ранних версиях, нескольких продуктах Cisco и других продуктах, неправильно связывает рукопожатия пересогласования с существующим соединением, что позволяет злоумышленникам "человек посередине" вставлять данные в HTTPS-сессии и, возможно, другие типы сессий, защищенные TLS или SSL, отправляя неаутентифицированный запрос, который обрабатывается ретроактивно сервером в контексте после пересогласования, что связано с атакой "plaintext injection", также известной как проблема "Project Mogul".
CVE-2024-6609При почти полном отсутствии памяти эллиптическая кривая, которая никогда не выделялась, могла быть освобождена повторно. Эта уязвимость затрагивает Firefox < 128 и Thunderbird < 128.
CVE-2023-0767Злоумышленник может сконструировать пакет сертификатов PKCS 12 таким образом, чтобы это позволило произвольную запись в память из-за неправильной обработки атрибутов PKCS 12 Safe Bag. Эта уязвимость затрагивает Firefox < 110, Thunderbird < 102.8 и Firefox ESR < 102.8.
CVE-2016-2834Mozilla Network Security Services (NSS) до версии 3.23, используемый в Mozilla Firefox до версии 47.0, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, оказывать другое неуказанное воздействие через неизвестные векторы.
CVE-2016-1979Уязвимость use-after-free в функции PK11_ImportDERPrivateKeyInfoAndReturnKey в Mozilla Network Security Services (NSS) версий до 3.21.1, используемой в Mozilla Firefox версий до 45.0, позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через специально созданные данные ключа с кодировкой DER.
CVE-2016-1950Переполнение буфера на основе кучи в Mozilla Network Security Services (NSS) версий до 3.19.2.3 и 3.20.x и 3.21.x до 3.21.1, используемом в Mozilla Firefox версий до 45.0 и Firefox ESR 38.x до 38.7, позволяет удаленным злоумышленникам выполнять произвольный код через специально созданные данные ASN.1 в сертификате X.509.
CVE-2019-17006В Network Security Services (NSS) до версии 3.46 в нескольких криптографических примитивах отсутствовали проверки длины. В случаях, когда приложение, вызывающее библиотеку, не выполняло проверку допустимости входных данных, это могло привести к сбою из-за переполнения буфера.
CVE-2019-11745При шифровании с помощью блочного шифра, если вызов NSC_EncryptUpdate был сделан с данными, размер которых меньше размера блока, могла произойти небольшая запись за пределы границ. Это могло вызвать повреждение кучи и потенциально используемый сбой. Эта уязвимость затрагивает Thunderbird < 68.3, Firefox ESR < 68.3 и Firefox < 71.
CVE-2026-6772Обход безопасности в Firefox
CVE-2026-6766Неправило граничные условия в компоненте библиотек в НСС. Эта уязвимость была исправлена в Firefox 150, Firefox ESR 140.10, Thunderbird 150 и Thunderbird 140.10.
CVE-2024-0743Непроверенное возвращаемое значение в коде рукопожатия TLS могло привести к потенциально эксплуатируемому сбою. Эта уязвимость затрагивает Firefox < 122, Firefox ESR < 115.9 и Thunderbird < 115.9.
CVE-2020-25648Обнаружена уязвимость в том, как NSS обрабатывает сообщения CCS (ChangeCipherSpec) в TLS 1.3. Эта уязвимость позволяет удаленному злоумышленнику отправлять несколько сообщений CCS, вызывая отказ в обслуживании для серверов, скомпилированных с библиотекой NSS. Наибольшая угроза от этой уязвимости заключается в доступности системы. Эта уязвимость затрагивает версии NSS до 3.58.
CVE-2019-17007В Network Security Services до версии 3.44 неправильная последовательность сертификатов Netscape может привести к сбою NSS, что приведет к отказу в обслуживании.
CVE-2019-11729Пустые или неправильно сформированные открытые ключи p256-ECDH могут вызвать ошибку сегментации из-за того, что значения неправильно очищаются перед копированием в память и использованием. Эта уязвимость затрагивает Firefox ESR < 60.8, Firefox < 68 и Thunderbird < 60.8.
CVE-2019-11719При импорте закрытого ключа curve25519 в формате PKCS#8 с ведущими байтами 0x00 возможно вызвать чтение за пределами границ в библиотеке Network Security Services (NSS). Это может привести к раскрытию информации. Эта уязвимость затрагивает Firefox ESR < 60.8, Firefox < 68 и Thunderbird < 60.8.
CVE-2017-7805Во время обмена TLS 1.2 создаются хэши рукопожатия, которые указывают на буфер сообщений. Эти сохраненные данные используются для последующих сообщений, но в некоторых случаях расшифровка рукопожатия может превышать объем свободного места в текущем буфере, что приводит к выделению нового буфера. Это оставляет указатель, указывающий на старый, освобожденный буфер, что приводит к use-after-free при последующем вычислении хэшей рукопожатия. Это может привести к потенциально используемому сбою. Эта уязвимость затрагивает Firefox < 56, Firefox ESR < 52.4 и Thunderbird < 52.4.
CVE-2017-7502Уязвимость разыменования нулевого указателя в NSS с версии 3.24.0 была обнаружена, когда сервер получает пустые сообщения SSLv2, что приводит к отказу в обслуживании со стороны удаленного злоумышленника.
CVE-2017-11698Переполнение буфера на основе кучи в функции __get_page в lib/dbm/src/h_page.c в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, оказывать неопределенное воздействие с помощью специально созданного файла cert8.db.
CVE-2017-11697Функция __hash_open в hash.c:229 в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, вызывать отказ в обслуживании (исключение с плавающей запятой и сбой) с помощью специально созданного файла cert8.db.
CVE-2017-11696Переполнение буфера на основе кучи в функции __hash_open в lib/dbm/src/hash.c в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, оказывать неопределенное воздействие с помощью специально созданного файла cert8.db.
CVE-2017-11695Переполнение буфера на основе кучи в функции alloc_segs в lib/dbm/src/hash.c в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, оказывать неопределенное воздействие с помощью специально созданного файла cert8.db.