Wins Security Information

취약점 정보

앞 내용 보기 다음 내용 보기
보안 동향Mozilla NSS 암호 라이브러리에서 발견된 버그
작성일 2021-12-02 조회 85

 

 

Mozilla는 크로스플랫폼 NSS(Network Security Services) 암호화 라이브러리의 심각한 보안 취약점을 해결하기 위한 수정 사항을 공개했다. 공격자는 이 취약점을 악용하여 취약한 애플리케이션을 중단하고 임의의 코드를 실행할 수 있다.

 

해당 취약점(CVE-2021-43527)은 NSS 3.73 이전 버전 또는 3.68.1 ESR 이전 버전에 영향을 줄 수 있으며, DSA 및 RSA-PSS 알고리즘과 같은 디지털 서명을 확인할 때 발생하는 힙 오버플로우 취약점과 관련이 있다. 문제를 보고한 사람은 Google Project Zero의 Tavis Ormandy이다.

 

Mozilla는 수요일 발행된 권고에서 "NSS 3.73 이전 버전 또는 3.68.1 ESR 이전 버전은 DER로 인코딩된 DSA 또는 RSA-PSS 서명을 처리하는 과정에서 힙 오버플로우에 취약하다. CMS, S/MIME, PKCS #7 또는 PKCS #12로 인코딩된 서명을 처리하기 위해 NSS를 사용하는 애플리케이션은 영향을 받을 수 있다."라고 말했다.

 

NSS는 클라이언트-서버 애플리케이션의 클로스플랫폼 개발을 위해 디자인된 오픈 소스 암화화 컴퓨터 라이브러리 모음이다. NSS는 SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 인증서 및 기타 보안 표준을 지원한다.

 

이 버그는 경계에 대한 부적절한 유효성 검사로 인해 발생하며 이는 공격자가 제어하는 임의의 코드의 실행을 허용하는 것으로 이어질 수 있다. 이 버그는 2012년 6월부터 악용가능했다고 알려졌고,  Ormandy는 기술 문서에서 "이 취약점의 놀라운 점은 매우 간단하다는 것이다" 라고 말했다.

 

Ormandy는 트위터에 "이 취약점은 NSS의 주요 메모리 손상 결함이며 NSS를 사용하는 거의 모든 것에 영향을 미친다. 제품에서 NSS를 사용하고 배포하는 공급업체라면 패치를 업데이트하거나 백포트해야 할 가능성이 높다."라고 말했다.

 

 

 

 

 

출처

https://thehackernews.com/2021/12/critical-bug-in-mozillas-nss-crypto.html

첨부파일 첨부파일이 없습니다.
태그 Mozilla  NetworkSecurityServices  NSS  CVE-2021-43527