Mozilla устранила критическую уязвимость, приводящую к повреждению памяти, которая затрагивает ее кроссплатформенный набор криптографических библиотек Network Security Services (NSS).
NSS можно использовать для разработки клиентских и серверных приложений с поддержкой безопасности с поддержкой SSL v3, TLS, PKCS # 5, PKCS # 7, PKCS # 11, PKCS # 12, S / MIME, X.509 v3 сертификатов и других сертификатов. стандарты безопасности.
Брешь в системе безопасности была обнаружена исследователем уязвимостей Google Тэвисом Орманди в версиях NSS до 3.73 или 3.68.1 ESR (который также назвал ее BigSig) и теперь отслеживается как CVE-2021-43527 .
Это может привести к переполнению буфера на основе кучи при обработке подписей DSA или RSA-PSS в формате DER в почтовых клиентах и программах просмотра PDF с использованием уязвимых версий NSS (ошибка исправлена в NSS 3.68.1 и NSS 3.73).
Влияние успешной эксплуатации переполнения кучи может варьироваться от сбоев программы и выполнения произвольного кода до обхода программного обеспечения безопасности, если выполнение кода достигнуто.
Все версии, выпущенные с октября 2012 г. уязвимы
«Вероятно, это повлияет на приложения, использующие NSS для обработки подписей, закодированных в CMS, S / MIME, PKCS # 7 или PKCS # 12», — говорится в сообщении по безопасности, опубликованном Mozilla .
«Приложения, использующие NSS для проверки сертификатов или другие функции TLS, X.509, OCSP или CRL, могут быть затронуты, в зависимости от того, как они настраивают NSS».
«Мы считаем, что все версии NSS, начиная с версии 3.14 (выпущенной в октябре 2012 года), уязвимы», — добавил Орманди в систему отслеживания проблем Project Zero.
«Mozilla планирует составить подробный список уязвимых API-интерфейсов, но, в общем, затрагивается любое стандартное использование NSS. Ошибка проста в воспроизведении и затрагивает несколько алгоритмов».
К счастью, согласно Mozilla, эта уязвимость не влияет на веб-браузер Mozilla Firefox. Однако предполагается, что это повлияет на все программы просмотра PDF-файлов и почтовые клиенты, использующие NSS для проверки подписи.
NSS используется Mozilla, Red Hat, SUSE и другими в самых разных продуктах, включая:
- Firefox, Thunderbird, SeaMonkey и Firefox OS.
- Клиентские приложения с открытым исходным кодом, такие как Evolution, Pidgin, Apache OpenOffice и LibreOffice.
- Серверные продукты от Red Hat: Red Hat Directory Server, Red Hat Certificate System и модуль SSL mod_nss для веб-сервера Apache.
- Серверные продукты Oracle (ранее Sun Java Enterprise System), включая Oracle Communications Messaging Server и Oracle Directory Server Enterprise Edition.
- SUSE Linux Enterprise Server поддерживает NSS и модуль SSL mod_nss для веб-сервера Apache.
«Если вы являетесь поставщиком, который распространяет NSS в своих продуктах, вам, скорее всего, потребуется обновить или перенести исправление», — сказал Орманди .
Последнее обновление 05.01.2023
