发布日期：2014-12-03
更新日期：2014-12-16

受影响系统：

Mozilla Network Security Services < 3.17.3
Mozilla Network Security Services < 3.16.2.4

描述：

---

BUGTRAQ  ID: 71675
CVE(CAN) ID: CVE-2014-1569

网络安全服务（NSS）是一套用于跨平台开发启用了安全功能的客户端和服务器应用的库，用NSS编译的应用可以支持SSLv2、SSLv3、TLS等安全标准。

Mozilla Network Security Services (NSS) 3.16.2.4之前版本, 3.17.3之前版本，lib/util/quickder.c的definite_length_decoder函数没有确保ASN.1长度的DER编码正确形成，这可使远程攻击者通过长字节串的编码，利用此漏洞执行data-smuggling攻击。实例：SEC_QuickDERDecodeItem函数不正确处理任意长度的0x00编码。

<*来源：Brian Smith
  *>

建议：

---

厂商补丁：

Mozilla
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://bugzilla.mozilla.org/show_bug.cgi?id=1064670
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.17.3_release_notes

浏览次数：1873
严重程度：0（网友投票）