Mozilla 已解决影响其跨平台网络安全服务 (NSS) 密码库集的关键内存损坏漏洞。
NSS可用于开发支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书和各种其他证书的启用安全的客户端和服务器应用程序安全标准。
这个安全漏洞是 由谷歌漏洞研究员 Tavis Ormandy 在 3.73 或 3.68.1 ESR 之前的 NSS 版本中 发现的,他也称之为 BigSig,现在被追踪为 CVE-2021-43527。
在使用易受攻击的 NSS 版本(该错误已在 NSS 3.68.1 和 NSS 3.73 中修复)中处理电子邮件客户端和 PDF 查看器中的 DER 编码 DSA 或 RSA-PSS 签名时,它可能导致 基于堆的缓冲区溢出。
成功利用堆溢出的影响范围从程序崩溃和任意代码执行到绕过安全软件(如果实现代码执行)。
自 2012 年 10 月以来发布的所有版本都存在漏洞
“使用NSS处理中CMS,S / MIME,PKCS#7或PKCS#12编码签名应用程序都可能受到影响,” Mozilla的说,在今天发布的一份安全公告。
“使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用程序可能会受到影响,具体取决于它们如何配置 NSS。”
“我们相信自 3.14(2012 年 10 月发布)以来的所有 NSS 版本都存在漏洞,”Ormandy在项目零问题跟踪器中补充道。
“Mozilla 计划生成受影响 API 的完整列表——但总结是任何 NSS 的标准使用都会受到影响。该错误很容易重现并影响多种算法。”
幸运的是,据 Mozilla 称,此漏洞不会影响 Mozilla Firefox 网络浏览器。但是,相信所有使用 NSS 进行签名验证的 PDF 查看器和电子邮件客户端都会受到影响。
Mozilla、Red Hat、SUSE 和其他公司在各种产品中使用NSS ,包括:
Firefox、Thunderbird、SeaMonkey 和 Firefox OS。
开源客户端应用程序,例如 Evolution、Pidgin、Apache OpenOffice 和 LibreOffice。
来自 Red Hat 的服务器产品:Red Hat Directory Server、Red Hat Certificate System 和用于 Apache 网络服务器的 mod_nss SSL 模块。
来自 Oracle(以前称为 Sun Java Enterprise System)的服务器产品,包括 Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition。
SUSE Linux Enterprise Server 支持 Apache 网络服务器的 NSS 和 mod_nss SSL 模块。
“如果您是在您的产品中分发 NSS 的供应商,您很可能需要更新或向后移植补丁,”Ormandy说。
274
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
