国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

作為安全客戶端 / 服務(wù)器應(yīng)用程序開發(fā)的一款工具，NSS 可用于支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3 證書，以及其它各種安全標(biāo)準(zhǔn)。然而在 3.73 / 3.68.1 ESR 之前的版本中，Google 安全研究員 Tavis Ormandy 卻發(fā)現(xiàn)了一個(gè)嚴(yán)重的內(nèi)存破壞漏洞。

Tavis Ormandy 將這種漏洞稱作 BigSig，且現(xiàn)已分配 CVE-2021-43527 這個(gè)漏洞披露追蹤編號(hào)。

若使用易受攻擊的 NSS 版本，用戶很可能在電子郵件客戶端和 PDF 閱讀器中處理 DER 編碼（DSA）或 RSA-PSS 簽名時(shí)，遭遇堆緩沖區(qū)溢出（heap-based buffer overflow）。

慶幸的是，Mozilla 已在 NSS 3.73 / 3.68.1 ESR 版本中修復(fù)了這個(gè) bug 。但未及時(shí)打補(bǔ)丁的平臺(tái)，仍存在程序崩潰、或被攻擊者利用于任意代碼執(zhí)行（繞過安全軟件）的風(fēng)險(xiǎn)。

Mozilla 在周三發(fā)布的一份安全公告中稱，使用 NSS 處理 CMS、S/MIME、PKCS #7、PKCS #12 簽名編碼的各應(yīng)用程序，都有可能受到 BigSig 漏洞的影響。

此外使用 NSS 開展證書驗(yàn)證（或其它 TLS、X.509、OCSP、CRL 功能）的應(yīng)用程序，也可能受到一定的影響，具體取決于它們是如何配置的。

Tavis Ormandy 在 Project Zero 漏洞追蹤頁面上指出，問題可一直追溯到 2012 年 10 月發(fā)布的 3.14 版本。

Mozilla 計(jì)劃生成一份受影響 API 的完整列表，但簡單總結(jié)就是任何 NSS 的標(biāo)準(zhǔn)使用都會(huì)受到影響，該漏洞很容易重現(xiàn)并影響多種算法。

讓人松口氣的是，Mozilla 聲稱 CVE-2021-43527 漏洞并未波及 Firefox 網(wǎng)絡(luò)瀏覽器。不過所有使用 NSS 進(jìn)行簽名驗(yàn)證的 PDF 閱讀器 / 電子郵件客戶端，都應(yīng)該慎重評(píng)估。

除了 Mozilla 旗下的 Firefox 網(wǎng)絡(luò)瀏覽器 / Thunderbird 郵件客戶端 / Firefox OS 移動(dòng)操作系統(tǒng) / SeaMonkey 跨平臺(tái)開源網(wǎng)絡(luò)套裝軟件，紅帽、SUSE 等公司也有大量產(chǎn)品在使用 NSS 。

● 開源客戶端應(yīng)用程序：包括 Evolution、Pidgin、Apache OpenOffice、LibreOffice 。

● Red Hat 服務(wù)器產(chǎn)品：Red Hat Directory Server、Red Hat Certificate System、以及用于 Apache 網(wǎng)絡(luò)服務(wù)器的 mod_nss SSL 模塊。

● Oracle（Sun Java Enterprise System）服務(wù)器產(chǎn)品：包括 Oracle Communications Messaging Server 和 Oracle Directory Server Enterprise Edition 。

● SUSE Linux Enterprise Server：支持 Apache 網(wǎng)絡(luò)服務(wù)器的 NSS 和 mod_nss SSL 模塊。

最后，Tavis Ormandy 提醒那些在自家產(chǎn)品中分發(fā) NSS 的供應(yīng)商，也盡快提供更新或向后移植補(bǔ)丁。