Специалисты компании Mozilla устранили опасную уязвимость в кроссплатформенном наборе криптографических библиотек Network Security Services (NSS). Проблема связана с нарушением целостности информации в памяти.
Первым о данном баге сообщил специалист Google Project Zero Тэвис Орманди. Судя по всему, проблема касается NSS версии 3.14 и последующих. Следует отметить, что уязвимость уже устранена в версиях 3.73 и 3.68.1 ESR. Уязвимости присвоен идентификатор CVE-2021-43527.
Уязвимость вызвана ошибкой в коде проверки верификации сертификатов в функции vfy_CreateContext из файла secvfy.c. Баг проявляется как при чтении клиентом сертификата с сервера, так и при обработке сервером сертификатов клиентов. В процессе проверки цифровой подписи, закодированной методом DER, Network Security Services декодирует подпись в буфер, который имеет фиксированный размер. Затем данный буфер передаётся модулю PKCS #11. Как выяснилось, у подписей DSA и RSA-PSS некорректно проверяется размер, что приводит к переполнению буфера, выделенного под структуру VFYContextStr, если размер цифровой подписи превышает 16384 бит (под буфер выделяется 2048 байт, но при этом не учитывается, что подпись может быть большего размера). Успешная эксплуатация уязвимости с высокой вероятностью может привести как к сбою программы, так и к выполнению произвольного кода с обходом защитных систем. Разработчики Mozilla дополнительно отметили, что уязвимость, по всей вероятности, влияет на приложения, использующие NSS для обработки подписей, закодированных с использованием CMS, S/MIME, PKCS #7 и PKCS #12. Также проблемы могут возникнуть у приложений, использующих NSS для валидации сертификатов и другие функции TLS, X.509, OCSP или CRL.
Mozilla утверждает, что баг не влияет на Firefox, но вот все программы для просмотра PDF-файлов и почтовые клиенты, использующие NSS для проверки подписи, проблеме подвержены. Если верить официальной статистике, Network Security Services активно используется разработчиками Mozilla, Red Hat, SUSE, Apache OpenOffice, LibreOffice, Pidgin и многих других продуктов. Рекомендуется не затягивать с обновлением вышеуказанного ПО.
Статьи по теме: