বিগসিগ, মোজিলা এনএসএস-এর একটি দুর্বলতা যা কোড কার্যকর করার অনুমতি দিতে পারে

সম্পর্কে খবর একটি সমালোচনামূলক দুর্বলতা চিহ্নিত করা (ইতিমধ্যে CVE-2021-43527 এর অধীনে তালিকাভুক্ত) en ক্রিপ্টোগ্রাফিক লাইব্রেরির সেট NSS (নেটওয়ার্ক নিরাপত্তা সেবা) Mozilla থেকে যা দূষিত কোড কার্যকর করতে পারে DER (বিশিষ্ট এনকোডিং নিয়ম) ব্যবহার করে নির্দিষ্ট করা DSA বা RSA-PSS ডিজিটাল স্বাক্ষর প্রক্রিয়া করার সময়।

সমস্যা ডিজিটাল স্বাক্ষর পরিচালনা করতে NSS ব্যবহার করে এমন অ্যাপ্লিকেশনগুলিতে নিজেকে প্রকাশ করে CMS, S/MIME, PKCS # 7 এবং PKCS # 12, অথবা স্থাপনায় সার্টিফিকেট যাচাই করার সময় TLS, X.509, OCSP এবং CRL। TLS, DTLS, এবং S/MIME সমর্থন, ইমেল ক্লায়েন্ট এবং PDF ভিউয়ারদের সাথে বিভিন্ন ক্লায়েন্ট এবং সার্ভার অ্যাপ্লিকেশনে দুর্বলতা দেখা দিতে পারে যারা ডিজিটাল স্বাক্ষর যাচাই করতে NSS CERT_VerifyCertificate () কল ব্যবহার করে।

LibreOffice, Evolution এবং Evince দুর্বল অ্যাপ্লিকেশনের উদাহরণ হিসেবে উল্লেখ করা হয়েছে. সম্ভাব্যভাবে, সমস্যাটি পিডগিন, অ্যাপাচি ওপেনঅফিস, সুরিকাটা, কার্ল ইত্যাদি প্রকল্পগুলিকেও প্রভাবিত করতে পারে।

একই সময়ে, ফায়ারফক্স, থান্ডারবার্ড এবং টর ব্রাউজারে দুর্বলতা দেখা যায় না, যা যাচাইয়ের জন্য একটি পৃথক মজিলা :: pkix লাইব্রেরি ব্যবহার করে, যা NSS-এরও অংশ। দ্য ক্রোম-ভিত্তিক ব্রাউজার (যদি না সেগুলি বিশেষভাবে এনএসএসের সাথে সংকলিত হয়), যা 2015 সাল পর্যন্ত এনএসএস ব্যবহার করেছিল, কিন্তু তারপরে বোরিংএসএসএল-এ নিয়ে যাওয়া হয়েছিল, তারা সমস্যা দ্বারা প্রভাবিত হয় না.

vfy_CreateContext-এ শংসাপত্র যাচাইকরণ কোডে একটি ত্রুটির কারণে দুর্বলতা secvfy.c ফাইলের ফাংশন। ক্লায়েন্ট যখন সার্ভার থেকে শংসাপত্রটি পড়ে তখন ত্রুটিটি উভয়ই নিজেকে প্রকাশ করে যখন সার্ভার ক্লায়েন্টের সার্টিফিকেট প্রক্রিয়া করে।

একটি DER-এনকোডেড ডিজিটাল স্বাক্ষর যাচাই করার সময়, NSS স্বাক্ষরটিকে একটি নির্দিষ্ট-আকারের বাফারে ডিকোড করে এবং এই বাফারটিকে PKCS # 11 মডিউলে প্রেরণ করে৷ পোস্ট-প্রসেসিংয়ের সময়, DSA এবং RSA-PSS স্বাক্ষরগুলির জন্য, আকারটি ভুলভাবে যাচাই করা হয়, ফলে যেটিতে VFYContextStr কাঠামোর জন্য বরাদ্দকৃত বাফারের একটি ওভারফ্লো বাড়ে, যদি ডিজিটাল স্বাক্ষরের আকার 16384 বিটের বেশি হয় (বাফারের জন্য 2048 বাইট বরাদ্দ করা হয়, তবে স্বাক্ষরটি বড় হতে পারে তা যাচাই করা হয়নি)।

যে কোডটিতে দুর্বলতা রয়েছে সেটি 2003 সালের, কিন্তু 2012 সালে রিফ্যাক্টরিং না হওয়া পর্যন্ত এটি একটি হুমকি ছিল না। 2017 সালে, RSA-PSS সমর্থন বাস্তবায়ন করার সময় একই ভুল করা হয়েছিল। একটি আক্রমণ চালানোর জন্য, প্রয়োজনীয় ডেটা প্রাপ্ত করার জন্য নির্দিষ্ট কীগুলির একটি সংস্থান-নিবিড় প্রজন্মের প্রয়োজন হয় না, যেহেতু ডিজিটাল স্বাক্ষরের বৈধতা যাচাইয়ের আগে পর্যায়ে ওভারফ্লো ঘটে। ডেটার সীমার বাইরের অংশটি এমন একটি মেমরি এলাকায় লেখা হয় যাতে ফাংশন পয়েন্টার থাকে, যার ফলে কাজের শোষণ তৈরি করা সহজ হয়।

গুগল প্রজেক্ট জিরো গবেষকদের দ্বারা দুর্বলতা চিহ্নিত করা হয়েছিল নতুন অস্পষ্ট পরীক্ষা পদ্ধতির সাথে পরীক্ষা-নিরীক্ষার সময় এবং একটি সুপরিচিত সুপরিচিত প্রকল্পে কীভাবে তুচ্ছ দুর্বলতাগুলি দীর্ঘ সময়ের জন্য সনাক্ত করা যায় না তার একটি ভাল প্রদর্শন।

জন্য হিসাবে প্রধান সমস্যা যার জন্য সমস্যাটি নজরে পড়েনি অনেকক্ষণ ধরে:

এনএসএস ড্রাইভ লাইব্রেরি এবং ফাজিং পরীক্ষাগুলি সম্পূর্ণরূপে করা হয়নি, তবে পৃথক উপাদান স্তরে।
উদাহরণস্বরূপ, DER ডিকোড করার কোড এবং শংসাপত্র প্রক্রিয়াকরণ আলাদাভাবে যাচাই করা হয়েছিল; ফাজিংয়ের সময়, একটি শংসাপত্র ভালভাবে প্রাপ্ত করা যেতে পারে, যা প্রশ্নে দুর্বলতার প্রকাশের দিকে নিয়ে যায়, কিন্তু এর যাচাইকরণ যাচাইকরণ কোডে পৌঁছায়নি এবং সমস্যাটি প্রকাশ করা হয়নি।
অস্পষ্ট পরীক্ষার সময়, এনএসএস-এ এই ধরনের সীমাবদ্ধতার অনুপস্থিতিতে আউটপুট (10,000 বাইট) এর আকারের উপর কঠোর সীমা নির্ধারণ করা হয়েছিল (সাধারণ মোডে অনেকগুলি কাঠামো 10,000 বাইটের চেয়ে বড় হতে পারে, তাই, সমস্যাগুলি সনাক্ত করতে, আরও ইনপুট ডেটা প্রয়োজন ) সম্পূর্ণ যাচাইকরণের জন্য, সীমাটি হওয়া উচিত 2 24 -1 বাইট (16 MB), যা TLS-এ অনুমোদিত একটি শংসাপত্রের সর্বাধিক আকারের সাথে মিলে যায়৷
অস্পষ্ট পরীক্ষা দ্বারা কোড কভারেজ সম্পর্কে ভুল ধারণা। দুর্বল কোডটি সক্রিয়ভাবে পরীক্ষা করা হয়েছিল, কিন্তু ফুজার ব্যবহার করে, যা প্রয়োজনীয় ইনপুট ডেটা তৈরি করতে অক্ষম ছিল। উদাহরণস্বরূপ, fuzzer tls_server_target একটি পূর্বনির্ধারিত সেট-এর বাইরের-দ্যা-বক্স শংসাপত্র ব্যবহার করেছে, যা শংসাপত্র যাচাইকরণ কোডের যাচাইকরণকে শুধুমাত্র TLS বার্তা এবং প্রোটোকল অবস্থার পরিবর্তনের মধ্যে সীমাবদ্ধ করে।

পরিশেষে, এটি উল্লেখ করার মতো যে কোডনেম BigSig এর সমস্যাটি NSS 3.73 এবং NSS ESR 3.68.1-এ ঠিক করা হয়েছে এবং প্যাকেজ আকারে সমাধানের আপডেটগুলি ইতিমধ্যেই বিভিন্ন ডিস্ট্রিবিউশনে প্রকাশ করা হয়েছে: ডেবিয়ান, আরএইচইএল, উবুন্টু, সুস, আর্চ লিনাক্স, জেন্টু, ফ্রিবিএসডি ইত্যাদি।

আপনি যদি এ সম্পর্কে আরও জানতে চান তবে পরামর্শ নিতে পারেন নিম্নলিখিত লিঙ্ক।

আপনার মন্তব্য দিন

আপনার ইমেল ঠিকানা প্রকাশিত হবে না। প্রয়োজনীয় ক্ষেত্রগুলি দিয়ে চিহ্নিত করা *

মন্তব্য *

নাম*

ইমেইল electrónico*

এসেপ্টো লস গোপনীয়তা শর্তাদি*

ডেটার জন্য দায়ী: AB ইন্টারনেট নেটওয়ার্ক 2008 SL
ডেটার উদ্দেশ্য: নিয়ন্ত্রণ স্প্যাম, মন্তব্য পরিচালনা।
আইনীকরণ: আপনার সম্মতি
তথ্য যোগাযোগ: ডেটা আইনি বাধ্যবাধকতা ব্যতীত তৃতীয় পক্ষের কাছে জানানো হবে না।
ডেটা স্টোরেজ: ওসেন্টাস নেটওয়ার্কস (ইইউ) দ্বারা হোস্ট করা ডেটাবেস
অধিকার: যে কোনও সময় আপনি আপনার তথ্য সীমাবদ্ধ করতে, পুনরুদ্ধার করতে এবং মুছতে পারেন।

আমি নিউজলেটার পেতে চাই

LinuxAdictos

বিগসিগ, মোজিলা এনএসএসের একটি দুর্বলতা যা কোড কার্যকর করার অনুমতি দিতে পারে

আপনার মন্তব্য দিন

আপনার মন্তব্য দিন উত্তর বাতিল করুন

আপনার মন্তব্য দিন