Network Security Services
Уязвимости
69
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.9986
Распределение по критичности
Критический
3
Высокий
17
Средний
46
Низкий
3
Затронутые диапазоны версий
3.21–3.21.43.77–3.87< 3.11.5< 3.12.3< 3.14.3< 3.15< 3.15.4< 3.21.4< 3.28.4< 3.30< 3.36.7< 3.39< 3.41< 3.44< 3.46< 3.58≤ 3.11.2≤ 3.12.3≤ 3.15.1≤ 3.15.3≤ 3.15.5≤ 3.16.2.0≤ 3.16.2.3≤ 3.19
Также сопоставлено как (исходные строки): enterprise_server,personalization_engine,network security services,network_security_services,firefox_esr,seamonkey,firefox,thunderbird,thunderbird_esr,gnutls,openssl,directory_server
Топ уязвимостей
CVE-2017-5461Mozilla Network Security Services (NSS) до версий 3.21.4, 3.22.x - 3.28.x до 3.28.4, 3.29.x до 3.29.5 и 3.30.x до 3.30.1 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (запись за границами буфера) или, возможно, оказывать другое не указанное воздействие за счет использования некорректных операций base64.
CVE-2015-7182Переполнение буфера на основе кучи в декодере ASN.1 в Mozilla Network Security Services (NSS) до версии 3.19.2.1 и 3.20.x до версии 3.20.1, используемом в Firefox до версии 42.0 и Firefox ESR 38.x до версии 38.4 и других продуктах, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой приложения) или, возможно, выполнить произвольный код через специально созданные данные OCTET STRING.
BDU:2016-01546Уязвимость набора библиотек Network Security Services и браузера Firefox связана с ошибками в коде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (повреждение памяти, завершение работы приложения) или оказать другое воздействие
CVE-2016-2834Mozilla Network Security Services (NSS) до версии 3.23, используемый в Mozilla Firefox до версии 47.0, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, оказывать другое неуказанное воздействие через неизвестные векторы.
CVE-2016-1979Уязвимость use-after-free в функции PK11_ImportDERPrivateKeyInfoAndReturnKey в Mozilla Network Security Services (NSS) версий до 3.21.1, используемой в Mozilla Firefox версий до 45.0, позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через специально созданные данные ключа с кодировкой DER.
CVE-2016-1950Переполнение буфера на основе кучи в Mozilla Network Security Services (NSS) версий до 3.19.2.3 и 3.20.x и 3.21.x до 3.21.1, используемом в Mozilla Firefox версий до 45.0 и Firefox ESR 38.x до 38.7, позволяет удаленным злоумышленникам выполнять произвольный код через специально созданные данные ASN.1 в сертификате X.509.
CVE-2019-17006В Network Security Services (NSS) до версии 3.46 в нескольких криптографических примитивах отсутствовали проверки длины. В случаях, когда приложение, вызывающее библиотеку, не выполняло проверку допустимости входных данных, это могло привести к сбою из-за переполнения буфера.
BDU:2020-02871Уязвимость набора библиотек NSS (Network Security Services) существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2020-25648Обнаружена уязвимость в том, как NSS обрабатывает сообщения CCS (ChangeCipherSpec) в TLS 1.3. Эта уязвимость позволяет удаленному злоумышленнику отправлять несколько сообщений CCS, вызывая отказ в обслуживании для серверов, скомпилированных с библиотекой NSS. Наибольшая угроза от этой уязвимости заключается в доступности системы. Эта уязвимость затрагивает версии NSS до 3.58.
CVE-2019-17007В Network Security Services до версии 3.44 неправильная последовательность сертификатов Netscape может привести к сбою NSS, что приведет к отказу в обслуживании.
CVE-2017-7502Уязвимость разыменования нулевого указателя в NSS с версии 3.24.0 была обнаружена, когда сервер получает пустые сообщения SSLv2, что приводит к отказу в обслуживании со стороны удаленного злоумышленника.
CVE-2017-11698Переполнение буфера на основе кучи в функции __get_page в lib/dbm/src/h_page.c в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, оказывать неопределенное воздействие с помощью специально созданного файла cert8.db.
CVE-2017-11697Функция __hash_open в hash.c:229 в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, вызывать отказ в обслуживании (исключение с плавающей запятой и сбой) с помощью специально созданного файла cert8.db.
CVE-2017-11696Переполнение буфера на основе кучи в функции __hash_open в lib/dbm/src/hash.c в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, оказывать неопределенное воздействие с помощью специально созданного файла cert8.db.
CVE-2017-11695Переполнение буфера на основе кучи в функции alloc_segs в lib/dbm/src/hash.c в Mozilla Network Security Services (NSS) позволяет злоумышленникам, зависящим от контекста, оказывать неопределенное воздействие с помощью специально созданного файла cert8.db.
CVE-2004-0826Переполнение буфера на основе кучи в библиотеке Netscape Network Security Services (NSS) позволяет удаленным злоумышленникам выполнять произвольный код через измененное поле длины записи в сообщении приветствия клиента SSLv2.
BDU:2021-05184Уязвимость пакета библиотек для сетевой защиты приложений NSS связана с выделением неограниченной памяти при обработки сообщения CSS (ChangeCipherSpec). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2021-00100Уязвимость набора криптографических библиотек NSS связана с неправильным подтверждением подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2017-01833Уязвимость набора библиотек Network Security Services вызвана с записью за границами буфера в памяти. Уязвимость существует из-за некорректной операции декодирования Base64-чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или оказать другое воздействие при помощи специально сформированного сертификата
CVE-2016-1978Уязвимость use-after-free в функции ssl3_HandleECDHServerKeyExchange в Mozilla Network Security Services (NSS) версий до 3.21, используемой в Mozilla Firefox версий до 44.0, позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие, выполняя SSL (1) DHE или (2) ECDHE рукопожатие во время высокого потребления памяти.
CVE-2015-7183Целочисленное переполнение в реализации PL_ARENA_ALLOCATE в Netscape Portable Runtime (NSPR) в Mozilla Network Security Services (NSS) до версии 3.19.2.1 и 3.20.x до версии 3.20.1, используемом в Firefox до версии 42.0 и Firefox ESR 38.x до версии 38.4 и других продуктах, позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти и сбой приложения) через неуказанные векторы.
CVE-2015-7181Функция sec_asn1d_parse_leaf в Mozilla Network Security Services (NSS) до версии 3.19.2.1 и 3.20.x до версии 3.20.1, используемая в Firefox до версии 42.0 и Firefox ESR 38.x до версии 38.4 и других продуктах, неправильно ограничивает доступ к неуказанной структуре данных, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой приложения) или, возможно, выполнить произвольный код через специально созданные данные OCTET STRING, что связано с проблемой «use-after-poison».
CVE-2014-1544Уязвимость use-after-free в функции CERT_DestroyCertificate в libnss3.so в Mozilla Network Security Services (NSS) 3.x, используемом в Firefox до версии 31.0, Firefox ESR 24.x до версии 24.7 и Thunderbird до версии 24.7, позволяет удаленным злоумышленникам выполнить произвольный код через векторы, которые вызывают определенное неправильное удаление структуры NSSCertificate из доверенного домена.
CVE-2013-5605Mozilla Network Security Services (NSS) 3.14 до 3.14.5 и 3.15 до 3.15.3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании или, возможно, оказывать другое неуказанное воздействие через недопустимые пакеты подтверждения связи.
CVE-2009-2404Переполнение буфера на основе кучи в анализаторе регулярных выражений в Mozilla Network Security Services (NSS) до версии 3.12.3, используемом в Firefox, Thunderbird, SeaMonkey, Evolution, Pidgin и AOL Instant Messenger (AIM), позволяет удаленным SSL-серверам вызывать отказ в обслуживании (сбой приложения) или, возможно, выполнять произвольный код через длинное доменное имя в поле Common Name (CN) субъекта сертификата X.509, связанное с функцией cert_TestHostName.