作為安全客戶端 / 服務器應用程序開發的一款工具,NSS 可用於支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 證書,以及其它各種安全標準。然而在 3.73 / 3.68.1 ESR 之前的版本中,Google 安全研究員 Tavis Ormandy 卻發現了一個嚴重的內存破壞漏洞。
截圖(來自:Mozilla 官網)
Tavis Ormandy 將這種漏洞稱作 BigSig,且現已分配 CVE-2021-43527 這個漏洞披露追蹤編號。
若使用易受攻擊的 NSS 版本,用戶很可能在電子郵件客戶端和 PDF 閱讀器中處理 DER 編碼(DSA)或 RSA-PSS 簽名時,遭遇堆緩衝區溢出(heap-based buffer overflow)。
慶幸的是,Mozilla 已在 NSS 3.73 / 3.68.1 ESR 版本中修復了這個 bug 。但未及時打補丁的平台,仍存在程序崩潰、或被攻擊者利用於任意代碼執行(繞過安全軟件)的風險。
Mozilla 在周三發布的一份安全公告中稱,使用 NSS 處理 CMS、S/MIME、PKCS #7、PKCS #12 簽名編碼的各應用程序,都有可能受到 BigSig 漏洞的影響。
此外使用 NSS 開展證書驗證(或其它 TLS、X.509、OCSP、CRL 功能)的應用程序,也可能受到一定的影響,具體取決於它們是如何配置的。
Tavis Ormandy 在 Project Zero 漏洞追蹤頁面上指出,問題可一直追溯到 2012 年 10 月發布的 3.14 版本。
Mozilla 計劃生成一份受影響 API 的完整列表,但簡單總結就是任何 NSS 的標準使用都會受到影響,該漏洞很容易重現並影響多種算法。
讓人鬆口氣的是,Mozilla 聲稱 CVE-2021-43527 漏洞並未波及 Firefox 網絡瀏覽器。不過所有使用 NSS 進行簽名驗證的 PDF 閱讀器 / 電子郵件客戶端,都應該慎重評估。
除了 Mozilla 旗下的 Firefox 網絡瀏覽器 / Thunderbird 郵件客戶端 / Firefox OS 移動操作系統 / SeaMonkey 跨平台開源網絡套裝軟件,紅帽、SUSE 等公司也有大量產品在使用 NSS 。
● 開源客戶端應用程序:包括 Evolution、Pidgin、Apache OpenOffice、LibreOffice 。
● Red Hat 服務器產品:Red Hat Directory Server、Red Hat Certificate System、以及用於 Apache 網絡服務器的 mod_nss SSL 模塊。
● Oracle(Sun Java Enterprise System)服務器產品:包括 Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition 。
● SUSE Linux Enterprise Server:支持 Apache 網絡服務器的 NSS 和 mod_nss SSL 模塊。
最後,Tavis Ormandy 提醒那些在自家產品中分發 NSS 的供應商,也儘快提供更新或向後移植補丁。