说米网

作为安全客户端 / 服务器应用程序开发的一款东西，NSS 可用于支撑 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 证书，以及其它各种安全规范。然而在 3.73 / 3.68.1 ESR 之前的版别中，Google 安全研究员 Tavis Ormandy 却发现了一个严峻的内存损坏缝隙。

Tavis Ormandy 将这种缝隙称作 BigSig，且现已分配 CVE-2021-43527 这个缝隙发表追寻编号。

若运用易受攻击的 NSS 版别，用户很或许在电子邮件客户端和 PDF 阅读器中处理 DER 编码（DSA）或 RSA-PSS 签名时，遭受堆缓冲区溢出（heap-based buffer overflow）。

幸亏的是，Mozilla 已在 NSS 3.73 / 3.68.1 ESR 版别中修正了这个 bug 。但未及时打补丁的渠道，仍存在程序溃散、或被攻击者利用于恣意代码履行（绕过安全软件）的危险。

Mozilla 在周三发布的一份安全布告中称，运用 NSS 处理 CMS、S/MIME、PKCS #7、PKCS #12 签名编码的各应用程序，都有或许遭到 BigSig 缝隙的影响。

此外运用 NSS 展开证书验证（或其它 TLS、X.509、OCSP、CRL 功用）的应用程序，也或许遭到必定的影响，详细取决于它们是怎么装备的。

Tavis Ormandy 在 Project Zero 缝隙追寻页面上指出，问题可一向追溯到 2012 年 10 月发布的 3.14 版别。

Mozilla 方案生成一份受影响 API 的完好列表，但简略总结便是任何 NSS 的规范运用都会遭到影响，该缝隙很简单重现并影响多种算法。

让人松口气的是，Mozilla 宣称 CVE-2021-43527 缝隙并未涉及 Firefox 网络浏览器。不过一切运用 NSS 进行签名验证的 PDF 阅读器 / 电子邮件客户端，都应该稳重评价。

除了 Mozilla 旗下的 Firefox 网络浏览器 / Thunderbird 邮件客户端 / Firefox OS 移动操作系统 / SeaMonkey 跨渠道开源网络套装软件，红帽、SUSE 等公司也有很多产品在运用 NSS 。

● 开源客户端应用程序：包含 Evolution、Pidgin、Apache OpenOffice、LibreOffice 。

● Red Hat 服务器产品：Red Hat Directory Server、Red Hat Certificate System、以及用于 Apache 网络服务器的 mod_nss SSL 模块。

● Oracle（Sun Java Enterprise System）服务器产品：包含 Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition 。

● SUSE Linux Enterprise Server：支撑 Apache 网络服务器的 NSS 和 mod_nss SSL 模块。

最终，Tavis Ormandy 提示那些在自家产品中分发 NSS 的供货商，也赶快供给更新或向后移植补丁。