聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Mozilla 修复了影响跨平台网络安全服务 (NSS) 加密库中一个严重的内存损坏漏洞 (CVE-2021-43527)。

NSS 可用于开发启用安全功能的客户端和服务器应用，支持 SSL v3、TLS、PKCS#5、PKCS #7、PKCS#11、PKCS#12、S/MIME、X.509 v3 证书和其它安全标准。

该漏洞由谷歌漏洞安全研究员 Tavis Ormandy 在 NSS 3.73 或 3.68.1 ESR 之前的版本中发现，并被命名为 “BigSig”。

当使用易受攻击的 NSS 版本处理启用 DER 的DSA 或邮件客户端和PDF查看器中的 RSA-PSS 签名时，CVE-2021-43527 可导致基于堆的缓冲区溢出漏洞。

目前该漏洞已在 NSS 3.68.1 和 NSS 3.73 中修复。

成功利用该漏洞可导致程序崩溃、任意代码执行或安全软件绕过等后果。

2012年10月后发布的所有NSS版本均易受攻击

Moziila 在安全公告中指出，“使用NSS 处理以CMS、S/MIME、PKCS#7 或 PKCS#12 编码的签名的应用可能受影响。使用 NSS 进行证书验证或其它 TLS、X.509、OCSP 或 CRL 功能的应用程序可能受影响，具体取决于NSS的配置方法。” Ormandy 表示，“我们认为自3.14（2012年10月发布）以来的所有版本均易受攻击。Mozilla 计划生成完整的受影响 API 列表，但总结认为NSS的任何标准使用均受影响。该漏洞易于复现而且影响多种算法。“

幸运的是，Mozilla 指出该漏洞并不影响 Mozilla Firefox web 浏览器。然而，所有使用 NSS 进行签名验证的PDF查看器和邮件客户端均被指受影响。

NSS 广泛用于 Mozilla、Red Hat、SUSE 等多种产品中，包括：

• Firefox、Thunderbird、SeaMonkey和Firefox OS.

• 开源客户端应用如Evolution、Pidgin、Apache OpenOffice和 LibreOffice。

• Red Hat服务器产品：Red Hat Directory Server、Red Hat Certificate System和 Apache webserver的 mod_nss SSL 模块。

• Oracle 的服务器产品（此前被称为Sun Java Enterprise System），包括Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition。

• SUSE Linux Enterprise Server 支持 NSS 和 Apache webserver 的mod_nss SSL 模块。

Ormandy 表示，“如果你在产品中分发了NSS，则很可能许哟啊更新或向后兼容补丁。“

推荐阅读

开源加密库和 GnuPG 模块 Libgcrypt 紧急修复严重漏洞

Bouncy Castle 加密库修复高危的认证绕过漏洞

速更新！流行的开源邮件客户端 Mozilla Thunderbird 91.3修复多个高危缺陷

Mozilla 加大火狐浏览器漏洞奖励力度

Mozilla 扩大漏洞奖励计划，奖励金为原来的三倍

原文链接

https://www.bleepingcomputer.com/news/security/mozilla-fixes-critical-bug-in-cross-platform-cryptography-library/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~