CVE-2021-43527: Mozilla NSS 缓冲区堆溢出漏洞通告

来源: 投稿
作者: 360CERT
2021-12-03

报告编号:B6-2021-120202

报告来源:360CERT

报告作者:360CERT

更新日期:2021-12-02

漏洞简述

2021年12月02日,360CERT监测发现Mozilla发布了Mozilla NSS 缓冲区堆溢出的风险通告,漏洞编号为CVE-2021-43527,漏洞等级:严重,漏洞评分:9.8

NSS (Network Security Services)是一组支持跨平台开发安全客户端与服务器应用程序的程序库,它提供服务器侧硬件TLS/SSL加速和客户端侧智能卡的可选支持。

此漏洞不会影响 Mozilla Firefox。但是,使用 NSS 进行签名验证的电子邮件客户端和 PDF 查看器,例如 Thunderbird、LibreOffice、Evolution 和 Evince,受影响。

对此,360CERT建议广大用户及时将Mozilla NSS升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

风险等级

评定方式 等级
威胁等级 严重
影响面 广泛
攻击者价值
利用难度
360CERT评分 9.8

漏洞详情

CVE-2021-43527: Mozilla NSS 堆溢出漏洞

  • CVE: CVE-2021-43527
  • 组件: Network Security Services
  • 漏洞类型: 堆溢出
  • 影响: 代码执行

简述: 在处理DER编码的DSA或RSA-PSS签名时,3.73或3.68.1 ESR之前的NSS(网络安全服务)版本容易发生堆溢出。使用NSS处理CMS、S/MIME、pkcs# 7或pkcs# 12中编码的签名的应用程序可能会受到影响。使用NSS进行证书验证或其他 TLS、X.509、OCSP或CRL功能的应用程序可能会受到影响,这取决于如何配置NSS。

影响版本

组件 影响版本 安全版本
Mozilla:NSS < 3.73 3.73
Mozilla:NSS < 3.68.1 ESR 3.68.1

通用修补建议

根据影响版本中的信息,排查并升级到安全版本

时间线

  • 2021-12-01 Mozilla官方发布通告
  • 2021-12-02 360CERT发布通告

参考链接

1、 https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/#CVE-2021-43527

展开阅读全文
0 收藏
分享
加载中
最新评论 (2)
您好,请问缓冲区堆溢出是什么原理?
2021-12-03 17:22
0
回复
举报
就是程序员写的代码操作指针的时候,进行赋值或拷贝的时候,没有检查边界,在特定的构造输入可以造成特定的内存执行区域被覆写,从而达到执行注入的代码的目的。
2021-12-04 06:22
0
回复
举报
更多评论
2 评论
0 收藏
分享
返回顶部
顶部