聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Mozilla 修复了影响跨平台网络安全服务 (NSS) 加密库中一个严重的内存损坏漏洞 (CVE-2021-43527)。
NSS 可用于开发启用安全功能的客户端和服务器应用,支持 SSL v3、TLS、PKCS#5、PKCS #7、PKCS#11、PKCS#12、S/MIME、X.509 v3 证书和其它安全标准。
该漏洞由谷歌漏洞安全研究员 Tavis Ormandy 在 NSS 3.73 或 3.68.1 ESR 之前的版本中发现,并被命名为 “BigSig”。
当使用易受攻击的 NSS 版本处理启用 DER 的DSA 或邮件客户端和PDF查看器中的 RSA-PSS 签名时,CVE-2021-43527 可导致基于堆的缓冲区溢出漏洞。
目前该漏洞已在 NSS 3.68.1 和 NSS 3.73 中修复。
成功利用该漏洞可导致程序崩溃、任意代码执行或安全软件绕过等后果。
2012年10月后发布的所有NSS版本均易受攻击
Moziila 在安全公告中指出,“使用NSS 处理以CMS、S/MIME、PKCS#7 或 PKCS#12 编码的签名的应用可能受影响。使用 NSS 进行证书验证或其它 TLS、X.509、OCSP 或 CRL 功能的应用程序可能受影响,具体取决于NSS的配置方法。” Ormandy 表示,“我们认为自3.14(2012年10月发布)以来的所有版本均易受攻击。Mozilla 计划生成完整的受影响 API 列表,但总结认为NSS的任何标准使用均受影响。该漏洞易于复现而且影响多种算法。“
幸运的是,Mozilla 指出该漏洞并不影响 Mozilla Firefox web 浏览器。然而,所有使用 NSS 进行签名验证的PDF查看器和邮件客户端均被指受影响。
NSS 广泛用于 Mozilla、Red Hat、SUSE 等多种产品中,包括:
Firefox、Thunderbird、SeaMonkey和Firefox OS.
开源客户端应用如Evolution、Pidgin、Apache OpenOffice和 LibreOffice。
Red Hat服务器产品:Red Hat Directory Server、Red Hat Certificate System和 Apache webserver的 mod_nss SSL 模块。
Oracle 的服务器产品(此前被称为Sun Java Enterprise System),包括Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition。
SUSE Linux Enterprise Server 支持 NSS 和 Apache webserver 的mod_nss SSL 模块。
Ormandy 表示,“如果你在产品中分发了NSS,则很可能许哟啊更新或向后兼容补丁。“
推荐阅读
开源加密库和 GnuPG 模块 Libgcrypt 紧急修复严重漏洞
Bouncy Castle 加密库修复高危的认证绕过漏洞
速更新!流行的开源邮件客户端 Mozilla Thunderbird 91.3修复多个高危缺陷
Mozilla 加大火狐浏览器漏洞奖励力度
Mozilla 扩大漏洞奖励计划,奖励金为原来的三倍
原文链接
https://www.bleepingcomputer.com/news/security/mozilla-fixes-critical-bug-in-cross-platform-cryptography-library/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
