Mozilla a corrigé une vulnérabilité critique de corruption de mémoire affectant son ensemble de bibliothèques de cryptomonnaie NSS (Network Security Services) multiplateforme.
SNRS peut être utilisé pour développer des applications client et serveur sécurisées avec prise en charge des certificats SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 et divers autres certificats de sécurité normes.
La faille de sécurité était trouvé par le chercheur en vulnérabilité de Google Tavis Ormandy dans les versions NSS antérieures à 3.73 ou 3.68.1 ESR – qui l’a également surnommé BigSig – et est maintenant suivi comme CVE-2021-43527.
Cela peut conduire à un dépassement de mémoire tampon basé sur le tas lors de la gestion des signatures DSA ou RSA-PSS codées en DER dans les clients de messagerie et les visionneuses PDF utilisant des versions NSS vulnérables (le bug a été corrigé dans NSS 3.68.1 et NSS 3.73).
L’impact d’une exploitation réussie par débordement de tas peut aller des plantages de programmes et de l’exécution de code arbitraire au contournement du logiciel de sécurité si l’exécution du code est réalisée.
Il s’agit d’une faille majeure de corruption de mémoire dans NSS, presque toutes les utilisations de NSS sont affectées. L’avis de Mozilla est ici https://t.co/AL8suyLQFF https://t.co/uTQ2gqRZ5t
– Tavis Ormandy (@taviso) 1er décembre 2021
Toutes les versions publiées depuis octobre 2012 vulnérables
« Les applications utilisant NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS #7 ou PKCS #12 sont susceptibles d’être affectées », Mozilla mentionné dans un avis de sécurité publié aujourd’hui.
« Les applications utilisant NSS pour la validation de certificat ou d’autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, selon la façon dont elles configurent NSS. »
« Nous pensons que toutes les versions de NSS depuis la 3.14 (sortie en octobre 2012) sont vulnérables », Ormandy ajoutée sur le suivi des problèmes de Project Zero.
« Mozilla prévoit de produire une liste complète des API concernées – mais le résumé est que toute utilisation standard de NSS est affectée. Le bug est simple à reproduire et affecte plusieurs algorithmes. »
Heureusement, selon Mozilla, cette vulnérabilité n’a pas d’impact sur le navigateur Web Mozilla Firefox. Cependant, toutes les visionneuses de PDF et les clients de messagerie qui utilisent NSS pour la vérification des signatures seraient concernés.
NSS est utilisé par Mozilla, Red Hat, Google, SUSE et d’autres dans une grande variété de produits, notamment :
- Firefox, Thunderbird, SeaMonkey et Firefox OS.
- Applications clientes open source telles que Evolution, Pidgin, Apache OpenOffice et LibreOffice.
- Produits serveur de Red Hat : Red Hat Directory Server, Red Hat Certificate System et le module SSL mod_nss pour le serveur Web Apache.
- Produits serveur d’Oracle (anciennement Sun Java Enterprise System), y compris Oracle Communications Messaging Server et Oracle Directory Server Enterprise Edition.
- SUSE Linux Enterprise Server prend en charge NSS et le module SSL mod_nss pour le serveur Web Apache.