Network Security Services (NSS) の SSLv2 暗号スイートに含まれるバッファオーバーフローの脆弱性
概要
Network Security Services (NSS) ライブラリスイートの全バージョンに含まれるバッファオーバーフローの脆弱性が、2004 年 8 月、Internet Security Systems, Inc. (ISS) によって報告されました。この脆弱性は、攻撃者による悪質なコードの実行を許し、NSS ライブラリスイートの脆弱性を含むバージョンを利用したサーバ製品やサービスに対するサービス妨害攻撃につながる可能性があります。
影響を受ける製品とアプリケーション
- Network Security Services (NSS) ライブラリ - 全バージョン
- Netscape - Enterprise Server (NES) - 全バージョン
- Netscape - Directory Server (NDS) - 全バージョン
- Netscape - Certificate Management Server (CMS) - 全バージョン
- Sun - Sun ONE/iPlanet - 全バージョン
- その他、NSS ライブラリスイートを統合し、SSLv2 暗号スイートを利用したすべてのアプリケーションや製品
解決策
この問題は、Network Security Services ライブラリスイートをバージョン 3.9.2 にアップグレードすることで解決できます。なお、NSS の脆弱性を含むバージョンに対して静的にリンクしている製品やアプリケーションも、この脆弱性を解決するために再コンパイルが必要となる場合があります。NSS 3.9.2 は ftp.mozilla.org からダウンロードできます。
もし NSS ライブラリをアップグレードできない場合は、SSLv2 プロトコルと、すべての SSLv2 暗号スイートを無効化することで、この脆弱性による影響を大幅に軽減できます。ただし、一部のサーバ製品では、単に SSLv2 を無効化しただけでは、製品を攻撃から完全に保護することはできません。実際に軽減を図るためには、SSLv2 と、すべての SSLv2 暗号スイートを明示的に無効化する必要があります。影響を受けるいくつかの製品について、SSLv2 とすべての SSLv2 暗号スイートを無効化する方法は、以下のリンク先をご覧ください。