Mozilla, platformlar arası Ağ Güvenliği Hizmetleri (NSS) şifreleme kitaplıkları kümesini etkileyen kritik bir bellek bozulması güvenlik açığını giderdi.
NSS SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 sertifikaları ve diğer çeşitli güvenlik standartları desteğiyle güvenlik özellikli istemci ve sunucu uygulamaları geliştirmek için kullanılabilir.
Güvenlik açığı. kurmak Google güvenlik açığı araştırmacısı Tavis Ormandy tarafından NSS sürümlerinde 3.73 veya 3.68.1 ESR’den önce —aynı zamanda BigSig olarak da adlandırılır) ve şimdi ÖZGEÇMIŞ-2021-43527.
Bir yığın tabanlı arabellek taşması güvenlik açığı bulunan NSS sürümlerini kullanarak e-posta istemcilerinde ve PDF görüntüleyicilerde DER kodlanmış DSA veya RSA-PSS imzalarını işlerken (hata NSS 3.68.1 ve NSS 3.73’te düzeltilmiştir).
Başarılı yığın taşması sömürüsünün etkisi, kod yürütme elde edilirse program çökmelerinden ve rasgele kod yürütmeden güvenlik yazılımını atlamaya kadar değişebilir.
Bu, NSS’de önemli bir bellek bozulması kusurudur, NSS’nin hemen hemen her kullanımı etkilenir. Mozilla danışma belgesi burada. https://t.co/AL8suyLQFF https://t.co/uTQ2gqRZ5t
— Tavis Ormandy (@taviso) 1 Aralık 2021, Aralık 2021, Bu
Ekim 2012’den bu yana piyasaya sürülen tüm sürümler savunmasız
Mozilla, “CMS, S/MIME, PKCS #7 veya PKCS #12 içinde kodlanmış imzaları işlemek için NSS kullanan uygulamaların etkilenmesi muhtemeldir.” Söyledi bugün yayınlanan bir güvenlik danışma belgesinde.
“Sertifika doğrulaması veya diğer TLS, X.509, OCSP veya CRL işlevleri için NSS kullanan uygulamalar, NSS’yi nasıl yapılandırdıklarına bağlı olarak etkilenebilir.”
Ormandy, “3.14’ten (Ekim 2012’de piyasaya sürüldü) bu yana NSS’nin tüm sürümlerinin savunmasız olduğuna inanıyoruz.” eklendi Project Zero sorun izleyicisinde.
“Mozilla etkilenen API’lerin kapsamlı bir listesini üretmeyi planlıyor – ancak özet, NSS’nin herhangi bir standart kullanımının etkilendiğidir. Hatanın yeniden üretilmesi kolaydır ve birden çok algoritmayı etkiler.”
Neyse ki, Mozilla’ya göre, bu güvenlik açığı Mozilla Firefox web tarayıcısını etkilemiyor. Ancak, imza doğrulaması için NSS kullanan tüm PDF görüntüleyicilerin ve e-posta istemcilerinin etkilendiğine inanılmaktadır.
NSS kullanılmış Mozilla, Red Hat, SUSE ve diğerleri tarafından çok çeşitli ürünlerde:
- Firefox, Thunderbird, SeaMonkey ve Firefox işletim sistemi.
- Evolution, Pidgin, Apache OpenOffice ve LibreOffice gibi açık kaynaklı istemci uygulamaları.
- Red Hat’tan sunucu ürünleri: Red Hat Directory Server, Red Hat Certificate System ve Apache web sunucusu için mod_nss SSL modülü.
- Oracle Communications Messaging Server ve Oracle Directory Server Enterprise Edition dahil olmak üzere Oracle’ın sunucu ürünleri (eski adıyla Sun Java Enterprise System).
- SUSE Linux Enterprise Server, NSS’yi ve Apache web sunucusu için mod_nss SSL modüllerini destekler.
Ormandy, “Ürünlerinizde NSS dağıtan bir satıcıysanız, büyük olasılıkla düzeltme ekini güncellemeniz veya geriye doğru hareket etmeniz gerekir.” Söyledi.