作为安全客户端/服务器应用程序开发的工具,NSS可用于支持SSLv3、TLS、PKCS#5、PKCS#7、PKCS#11.PKCS#12、S/MIME、X.509v3证书和各种其他安全标准。然而,在3.73/3.68.1ESR之前的版本中,谷歌安全研究员TavisOrmandy发现了一个严重的内存损坏漏洞。截图(来自:Mozilla官网)TavisOrmandy将此漏洞称为BigSig,现已分配漏洞披露跟踪号CVE-2021-43527。使用易受攻击的NSS版本,用户在处理电子邮件客户端和PDF阅读器中的DER编码(DSA)或RSA-PSS签名时,可能会遇到基于堆的缓冲区溢出。值得庆幸的是,Mozilla已经在NSS3.73/3.68.1ESR版本中修复了这个错误。但是,未及时打补丁的平台仍然存在程序崩溃或被攻击者利用执行任意代码(绕过安全软件)的风险。Mozilla在周三发布的安全公告中表示,使用NSS处理CMS、S/MIME、PKCS#7和PKCS#12签名编码的应用程序可能会受到BigSig漏洞的影响。此外,使用NSS进行证书验证(或其他TLS、X.509、OCSP、CRL功能)的应用程序也可能受到影响,具体取决于它们的配置方式。TavisOrmandy在“零项目”错误跟踪页面上指出,该问题一直追溯到2012年10月发布的3.14版。Mozilla计划生成受影响API的完整列表,但简短的总结是任何标准使用NSS受影响,该漏洞易重现,影响多种算法。Mozilla松了一口气,声称CVE-2021-43527漏洞并未影响Firefox网络浏览器。但是,应仔细评估任何使用NSS进行签名验证的PDF阅读器/电子邮件客户端。除了Mozilla的Firefox网络浏览器/Thunderbird邮件客户端/FirefoxOS移动操作系统/SeaMonkey跨平台开源网络套件软件外,RedHat、SUSE等公司也有大量使用NSS的产品。开源客户端应用程序:包括Evolution、Pidgin、ApacheOpenOffice、LibreOffice。RedHat服务器产品:RedHatDirectoryServer、RedHatCertificateSystem和用于ApacheWeb服务器的mod_nssSSL模块。Oracle(SunJavaEnterpriseSystem)服务器产品:包括OracleCommunicationsMessagingServer和OracleDirectoryServerEnterpriseEdition。SUSELinuxEnterpriseServer:支持ApacheWeb服务器的NSS和mod_nssSSL模块。最后,TavisOrmandy提醒在其产品中分发NSS的供应商也尽快提供更新或向后移植补丁。
