Mozilla NSS 堆溢出漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2021-43527
  • 漏洞類型: 棧溢出
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時(shí)間:2021-12-06
  • 更新時(shí)間:2021-12-06

漏洞簡(jiǎn)介

1、組件介紹

Mozilla NSS 是一系列支持跨平臺(tái)的安全開發(fā)庫(kù),它通過服務(wù)端的 TLS/SSL 硬件加速和客戶端可選的智能卡,為服務(wù)端和客戶端應(yīng)用程序提供安全保護(hù)。

2、漏洞描述

2021年12月1日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Mozilla NSS 組件存在堆溢出漏洞的信息,漏洞編號(hào):CVE-2021-43527,漏洞威脅等級(jí):高危。值得注意的是 Mozilla FireFox 瀏覽器并不受此漏洞影響。

該漏洞是由于其庫(kù)中的函數(shù)向 VFYContextStr 結(jié)構(gòu)體復(fù)制數(shù)據(jù)時(shí)沒有對(duì)數(shù)據(jù)大小進(jìn)行限制,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊或拒絕服務(wù)攻擊,最終獲取服務(wù)器最高權(quán)限或造成服務(wù)器拒絕服務(wù)

漏洞公示

暫無

受影響實(shí)體

Mozilla NSS 安全開發(fā)庫(kù)被廣泛用于各種應(yīng)用程序,包括 Thunderbird、LibreOffice、Apache OpenOffice,Red Hat 服務(wù)器產(chǎn)品如Red Hat Directory Server,Oracle 服務(wù)器產(chǎn)品如 Oracle Communication Messaging Server 等。

目前受影響的 Mozilla NSS 版本:

Mozilla NSS < 3.73

Mozilla NSS < 3.68.1 ESR

補(bǔ)丁

1、如何檢測(cè)應(yīng)用程序是否受影響

請(qǐng)根據(jù)軟件的說明文檔或至軟件官網(wǎng)查詢其是否使用 Mozilla NSS 庫(kù)并調(diào)用其中存在漏洞的 API 函數(shù)。

2、官方修復(fù)建議

當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí)查看當(dāng)前所使用的軟件是否已更新相應(yīng)的補(bǔ)丁。Mozilla 發(fā)布的 NSS 補(bǔ)丁的鏈接如下:

https://hg.mozilla.org/projects/nss/rev/dea71cbef9e03636f37c6cb120f8deccce6e17dd