Af Eskil Sørensen, 02/12/21
Mozilla har udsendt rettelser for at adressere en kritisk fejl i sit kryptografiske bibliotek med netværkssikkerhedstjenester (NSS) på tværs af platforme. Det skriver The Hacker News.
Fejlen kan potentielt udnyttes af en modstander til at nedbryde en sårbar applikation og endda afvikle vilkårlig kode.
Fejlen har id’et CVE-2021-43527 og betegnes som ’kritisk’ ifølge Mozillas advisory, men en egentlig CVSS-score er ikke blevet tildelt endnu ifølge NVD. Fejlen påvirker NSS-versioner før 3.73 eller 3.68.1 ESR og vedrører en heap overflow-sårbarhed ved verificering af digitale signaturer såsom DSA- og RSA-PSS-algoritmer, der er kodet ved hjælp af det binære DER-format. Det siges, ifølge The Hacker News, at fejlen har været mulig at udnytte siden 2012.
’NSS (Network Security Services)-versioner før 3.73 eller 3.68.1 ESR er sårbare over for et heap-overflow, når de håndterer DER-kodede DSA- eller RSA-PSS-signaturer,’ oplyser Mozilla i en meddelelse, som blev offentliggjort onsdag. ’Applikationer, der bruger NSS til håndtering af signaturer kodet i CMS, S/MIME, PKCS #7 eller PKCS #12 vil sandsynligvis blive påvirket.’
NSS er en samling af open source kryptografiske computerbiblioteker designet til at muliggøre cross-platform udvikling af klient-server applikationer med understøttelse af SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/ MIME-, X.509 v3-certifikater og andre sikkerhedsstandarder.
The Hacker News skriver, at BigSig-manglen ikke påvirker Mozillas Firefox-webbrowser, men e-mail-klienter, PDF-fremvisere og andre applikationer, der er afhængige af NSS til signaturbekræftelse, såsom Red Hat, Thunderbird, LibreOffice, Evolution og Evince, kan være sårbare.
Leverandører, der distribuerer NSS i sine produkter, opfordres til at opdatere til den nyeste version eller eller backportere patchen, dvs. gå tilbage til en tidligere version.
Links:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/
https://thehackernews.com/2021/12/critical-bug-in-mozillas-nss-crypto.html