Baru-baru ini, Mozilla mengeluarkan pemberitahuan risiko untuk Mozilla Network Security Services (NSS) terkait buffer heap overflow. Kerentanan eksekusi kode jarak jauh ditemukan dalam cara NSS memverifikasi Sertifikat. Kerentanan ini memungkinkan penyerang yang menyamar sebagai server SSL/TLS memicu kerentanan heap overflow di aplikasi klien yang dikompilasi dengan NSS saat mencoba memulai koneksi SSL/TLS. Demikian pula, ketika aplikasi server yang dikompilasi dengan NSS memproses sertifikat klien, kerentanan heap overflow juga dapat dipicu.
Kerentanan yang terdeteksi
ID Kerentanan: CVE-2021-43527
Tingkat Keparahan Kerentanan: Tinggi
Versi yang Terganggu: Versi NSS sebelum 3.73 atau 3.68.1 ESR
Detail
NSS adalah serangkaian pustaka yang mendukung pengembangan aplikasi klien dan server keamanan lintas platform. Pustaka ini memberikan dukungan opsional untuk akselerasi TLS/SSL perangkat keras di sisi server dan kartu pintar perangkat keras di sisi klien.
Versi NSS sebelum 3.73 atau 3.68.1 ESR rentan terhadap heap overflow ketika menangani tanda tangan DSA atau RSA-PSS yang dienkripsi DER. Item yang terpengaruh meliputi:
Aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkripsi dalam CMS, S/MIME, PKCS #7, atau PKCS #12 mungkin terpengaruh.
Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi lainnya dari TLS, X.509, OCSP, atau CRL mungkin terpengaruh.
Anda dapat menjalankan perintah curl -V untuk melihat informasi tentang versi NSS default dalam sistem operasi.
Saran Keamanan
Jalankan perintah curl -V untuk memeriksa apakah versi NSS lebih lama dari 3.73 atau 3.68.1 ESR. Jika versi NSS lebih lama dari 3.73 atau 3.68.1 ESR, tingkatkan NSS ke versi aman sesegera mungkin. Jalankan perintah berikut untuk memperbaiki kerentanan:
yum clean all && yum install -y nssReferensi
CVE-2021-43527: Korupsi Memori melalui Tanda Tangan DSA dan RSA-PSS yang Di-enkripsi DER
Pihak yang mengumumkan
Alibaba Cloud Computing Co., Ltd.