बद्दलची बातमी गंभीर असुरक्षा ओळखणे (CVE-2021-43527 अंतर्गत आधीच सूचीबद्ध) en क्रिप्टोग्राफिक लायब्ररींचा संच N.S.S (नेटवर्क सुरक्षा सेवा) Mozilla कडून जे दुर्भावनायुक्त कोडची अंमलबजावणी करू शकते DER (विशिष्ट एन्कोडिंग नियम) वापरून निर्दिष्ट केलेल्या DSA किंवा RSA-PSS डिजिटल स्वाक्षरींवर प्रक्रिया करताना.
समस्या डिजिटल स्वाक्षरी हाताळण्यासाठी NSS वापरणार्या अनुप्रयोगांमध्ये स्वतःला प्रकट करते CMS, S/MIME, PKCS # 7 आणि PKCS # 12, किंवा तैनातीमध्ये प्रमाणपत्रांची पडताळणी करताना TLS, X.509, OCSP आणि CRL. TLS, DTLS आणि S/MIME समर्थन, ईमेल क्लायंट आणि डिजिटल स्वाक्षरी सत्यापित करण्यासाठी NSS CERT_VerifyCertificate () कॉल वापरणारे PDF दर्शकांसह विविध क्लायंट आणि सर्व्हर ऍप्लिकेशन्समध्ये भेद्यता उद्भवू शकते.
LibreOffice, Evolution आणि Evince यांचा उल्लेख असुरक्षित अनुप्रयोगांची उदाहरणे म्हणून केला आहे. संभाव्यतः, समस्या पिडगिन, Apache OpenOffice, Suricata, Curl सारख्या प्रकल्पांना देखील प्रभावित करू शकते.
त्याच वेळी Firefox, Thunderbird आणि Tor Browser मध्ये भेद्यता दिसत नाही, जे पडताळणीसाठी स्वतंत्र mozilla :: pkix लायब्ररी वापरतात, जे NSS चा देखील भाग आहे. द Chrome-आधारित ब्राउझर (जोपर्यंत ते विशेषत: NSS सह संकलित केले नसतील), ज्याने 2015 पर्यंत NSS वापरले, परंतु नंतर बोरिंगएसएसएलकडे नेले, ते समस्येने प्रभावित होत नाहीत.
vfy_CreateContext मधील प्रमाणपत्र पडताळणी कोडमधील बगमुळे भेद्यता आहे secvfy.c फाइलचे कार्य. जेव्हा क्लायंट सर्व्हरवरून प्रमाणपत्र वाचतो तेव्हा त्रुटी दोन्ही स्वतः प्रकट होते जेव्हा सर्व्हर क्लायंटच्या प्रमाणपत्रांवर प्रक्रिया करतो.
DER-एनकोड केलेल्या डिजिटल स्वाक्षरीची पडताळणी करताना, NSS स्वाक्षरी निश्चित आकाराच्या बफरमध्ये डीकोड करते आणि हे बफर PKCS # 11 मॉड्यूलमध्ये पास करते. पोस्ट-प्रोसेसिंग दरम्यान, DSA आणि RSA-PSS स्वाक्षरींसाठी, आकार चुकीच्या पद्धतीने सत्यापित केला जातो, परिणामी ज्यामध्ये डिजिटल स्वाक्षरीचा आकार 16384 बिट्सपेक्षा जास्त असल्यास, VFYContextStr संरचनेसाठी वाटप केलेल्या बफरचा ओव्हरफ्लो होतो (बफरसाठी 2048 बाइट्स वाटप केले जातात, परंतु स्वाक्षरी मोठी असू शकते हे सत्यापित केलेले नाही).
भेद्यता असलेला कोड 2003 चा आहे, परंतु 2012 मध्ये रिफॅक्टरिंग होईपर्यंत हा धोका नव्हता. 2017 मध्ये, RSA-PSS समर्थन लागू करताना तीच चूक झाली होती. हल्ला करण्यासाठी, आवश्यक डेटा प्राप्त करण्यासाठी काही विशिष्ट कीजची संसाधन-केंद्रित निर्मिती आवश्यक नसते, कारण डिजिटल स्वाक्षरीच्या वैधतेची पडताळणी करण्यापूर्वीच्या टप्प्यात ओव्हरफ्लो होतो. डेटाचा सीमेबाहेरचा भाग मेमरी एरियावर लिहिला जातो ज्यामध्ये फंक्शन पॉइंटर्स असतात, ज्यामुळे कामकाजाचे शोषण तयार करणे सोपे होते.
गुगल प्रोजेक्ट झिरोच्या संशोधकांनी असुरक्षितता ओळखली नवीन अस्पष्ट चाचणी पद्धतींच्या प्रयोगांदरम्यान आणि एका चांगल्या-चाचणी केलेल्या ज्ञात प्रकल्पात क्षुल्लक असुरक्षा कशा दीर्घकाळ शोधल्या जाऊ शकत नाहीत याचे एक चांगले प्रदर्शन आहे.
साठी म्हणून मुख्य समस्या ज्यासाठी समस्या कोणाच्या लक्षात आली नाही बर्याच काळापासून:
- NSS ड्राइव्ह लायब्ररी आणि फझिंग चाचण्या संपूर्णपणे केल्या गेल्या नाहीत, परंतु वैयक्तिक घटक स्तरावर.
- उदाहरणार्थ, DER डीकोड करण्यासाठी आणि प्रमाणपत्रांवर प्रक्रिया करण्यासाठी कोड स्वतंत्रपणे सत्यापित केला गेला; फझिंग दरम्यान, एक प्रमाणपत्र चांगले मिळू शकले असते, ज्यामुळे प्रश्नातील भेद्यता प्रकट होते, परंतु त्याचे सत्यापन सत्यापन कोडपर्यंत पोहोचले नाही आणि समस्या उघड झाली नाही.
- फझिंग चाचण्यांदरम्यान, NSS मध्ये अशा मर्यादा नसताना आउटपुटच्या आकारावर (10,000 बाइट्स) कठोर मर्यादा सेट केल्या गेल्या होत्या (सामान्य मोडमधील अनेक संरचना 10,000 बाइट्सपेक्षा मोठ्या असू शकतात, म्हणून, समस्या ओळखण्यासाठी, अधिक इनपुट डेटा आवश्यक आहे. ). पूर्ण पडताळणीसाठी, मर्यादा 2 24 -1 बाइट्स (16 MB) असावी, जी TLS मध्ये अनुमत प्रमाणपत्राच्या कमाल आकाराशी संबंधित आहे.
- अस्पष्ट चाचण्यांद्वारे कोड कव्हरेजबद्दल गैरसमज. असुरक्षित कोडची सक्रियपणे चाचणी केली गेली, परंतु फ्युझर्स वापरून, जे आवश्यक इनपुट डेटा व्युत्पन्न करण्यात अक्षम होते. उदाहरणार्थ, fuzzer tls_server_target ने आउट-ऑफ-द-बॉक्स प्रमाणपत्रांचा पूर्वनिर्धारित संच वापरला, ज्याने प्रमाणपत्र पडताळणी कोडची पडताळणी फक्त TLS संदेश आणि प्रोटोकॉल स्थिती बदलांपुरती मर्यादित केली.
शेवटी, हे नमूद करण्यासारखे आहे की बिगसिग या सांकेतिक नावाची समस्या NSS 3.73 आणि NSS ESR 3.68.1 मध्ये निश्चित केली गेली आहे. आणि पॅकेज फॉर्ममधील सोल्यूशनचे अपडेट्स आधीच वेगवेगळ्या वितरणांमध्ये रिलीझ केले गेले आहेत: डेबियन, आरएचईएल, उबंटू, एसयूएसई, आर्क लिनक्स, जेंटू, फ्रीबीएसडी इ.
आपण त्याबद्दल अधिक जाणून घेऊ इच्छित असल्यास, आपण सल्लामसलत करू शकता खालील दुवा.