Mozilla の暗号ライブラリ Network Security Services の深刻なバグが FIX

Mozilla fixes critical bug in cross-platform cryptography library

2021/12/01 BleepingComputer — Mozilla は、クロス・プラットフォームの暗号ライブラリ Network Security Services (NSS) に存在する、深刻なメモリ破壊の脆弱性に対処した。NSS は、SSL v3/TLS/PKCS #5/PKCS #7/PKCS #11/PKCS #12/S/MIME/X.509 v3 証明書などの、さまざまなセキュリティ規格に対応しており、セキュリティ機能を備えたクライアントおよびサーバー・アプリケーションを開発するために使用できる。

この CVE-2021-43527 として追跡されるセキュリティ上の欠陥は、Google の脆弱性研究者である Tavis Ormandy が、NSS 3.73 および ESR 3.68.1 ESR 以下のバージョンで発見したものであり、BigSig とも呼ばれていた。このバグは、脆弱な NSS バージョンを使用するメール・クライアントや PDFビュワーにおいて、DER-encoded DSA および RSA-PSSDER 署名を処理する際に、ヒープベース・バッファオーバーフローを引き起こす可能性がある (このバグは NSS 3.68.1/3.73 で修正されている)。

ヒープ・オーバーフローの悪用に成功した場合の影響は、プログラムのクラッシュや任意のコード実行から、コード実行が達成された場合のセキュリティ・バイパスに至るまで、多岐にわたる。

2012年10月以降にリリースされた全バージョンに影響する脆弱性

Mozilla は本日に発表したセキュリティ・アドバイザリにおいて、「CMS/S/MIME/PKCS #7/PKCS #12 でエンコードされた署名を、NSS で処理するアプリケーションは影響を受ける可能性がある。NSS を証明書の検証や、TLS/X.509/OCSP/CRL などの機能で使用しているアプリケーションは、NSS の設定方法に応じて影響を受ける可能性がある」と述べている。

Project Zero の issue trackerである Tavis Ormandy は、「NSS の 3.14 (2012年10月リリース) 以降の、すべてのバージョンに脆弱性があると考えている。Mozillaは 、影響を受ける API の完全なリストを作成する予定だが、要約すると、NSS の標準的な使用は全て影響を受ける。このバグは簡単に再現でき、複数のアルゴリズムに影響しする」と述べている。

幸いなことに、Mozilla によると、この脆弱性は Mozilla Firefox Web ブラウザには影響をおよぼさない。しかし、署名検証に NSS を使用している全ての PDF ビュワーやメール・クライアントには影響があると考えられる。

NSS は、Mozilla/Red Hat/SUSE などにより、以下の製品で使用されている。

  • NSS は、Mozilla/Red Hat/SUSE などにより、Firefox/Thunderbird/SeaMonkey/Firefox OS などの製品で使用されている。
  • Evolution/Pidgin/Apache OpenOffice/LibreOffice などのオープンソースのクライアント・アプリケーション。
  • Red Hat のサーバー製品。Red Hat Directory Server/Red Hat Certificate System/Apache Web mod_nss SSL module。
  • Oracle (旧 Sun Java Enterprise System) のサーバー製品:Oracle Communications Messaging Server/Oracle Directory Server Enterprise Edition など。
  • SUSE Linux Enterprise Server は、NSS と Apache Webサーバ用の mod_nss SSL モジュールをサポート。

    Tavis Ormandy は、「自社製品に NSS を配布しているベンダーであれば、ほとんどの場合、パッチ更新またはバックポートする必要がある」と述べている。

この脆弱性 CVE-2021-43527 ですが、お隣のキュレーション・チームに確認したら、12月3日に Mozilla と Amazon Linux AMI からの情報として、レポートに掲載されているようです。また、Ubuntu や Debian などからも、続々とアドバイザリが提供されているようです。ご確認ください。

%d bloggers like this: