近日,Mozilla發布了Mozilla NSS(Network Security Services)緩衝區堆溢出的風險通告。NSS驗證認證的方式中存在一個遠程代碼執行缺陷,該缺陷允許冒充TLS/SSL伺服器的攻擊者對使用NSS編譯的用戶端觸發堆溢出的問題,此外,在使用NSS編譯的伺服器應用程式中處理用戶端認證時也會觸發堆溢出的問題。
漏洞資訊
漏洞編號:CVE-2021-43527
漏洞評級:高
影響範圍:NSS版本小於3.73或小於3.68.1 ESR
詳細描述
NSS(Network Security Services)是一組支援跨平台開發安全用戶端與伺服器應用程式的程式庫,提供了伺服器側硬體TLS/SSL加速和用戶端側智慧卡的可選支援。
版本小於3.73或小於3.68.1 ESR的NSS,在處理DER編碼的DSA或RSA-PSS簽名時易發生堆溢出。影響項:
使用NSS處理CMS、S/MIME、PKCS #7或PKCS #12中編碼簽名的應用程式可能會受到影響。
使用NSS進行認證驗證或其他功能(TLS、X.509、OCSP或CRL功能)的應用程式可能會受到影響。
說明
您可以通過curl -V命令查看系統中預設使用的NSS版本資訊。
安全建議
通過curl -V命令查看並排查NSS版本是否小於3.73或小於3.68.1 ESR。如果小於請儘快將NSS升級到安全版本。修複命令如下:
yum clean all && yum install -y nss相關連結
CVE-2021-43527: Memory corruption via DER-encoded DSA and RSA-PSS signatures
公告方
阿里雲計算有限公司