Mozilla NSS 堆溢出漏洞
  • CNNVD編號:未知
  • 危害等級: 高危 
  • CVE編號:CVE-2021-43527
  • 漏洞類型: 棧溢出
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時間:2021-12-06
  • 更新時間:2021-12-06

漏洞簡介

1、組件介紹

Mozilla NSS 是一系列支持跨平臺的安全開發(fā)庫,它通過服務(wù)端的 TLS/SSL 硬件加速和客戶端可選的智能卡,為服務(wù)端和客戶端應(yīng)用程序提供安全保護(hù)。

2、漏洞描述

2021年12月1日,深信服安全團(tuán)隊(duì)監(jiān)測到一則 Mozilla NSS 組件存在堆溢出漏洞的信息,漏洞編號:CVE-2021-43527,漏洞威脅等級:高危。值得注意的是 Mozilla FireFox 瀏覽器并不受此漏洞影響。

該漏洞是由于其庫中的函數(shù)向 VFYContextStr 結(jié)構(gòu)體復(fù)制數(shù)據(jù)時沒有對數(shù)據(jù)大小進(jìn)行限制,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊或拒絕服務(wù)攻擊,最終獲取服務(wù)器最高權(quán)限或造成服務(wù)器拒絕服務(wù)

漏洞公示

暫無

受影響實(shí)體

Mozilla NSS 安全開發(fā)庫被廣泛用于各種應(yīng)用程序,包括 Thunderbird、LibreOffice、Apache OpenOffice,Red Hat 服務(wù)器產(chǎn)品如Red Hat Directory Server,Oracle 服務(wù)器產(chǎn)品如 Oracle Communication Messaging Server 等。

目前受影響的 Mozilla NSS 版本:

Mozilla NSS < 3.73

Mozilla NSS < 3.68.1 ESR

補(bǔ)丁

1、如何檢測應(yīng)用程序是否受影響

請根據(jù)軟件的說明文檔或至軟件官網(wǎng)查詢其是否使用 Mozilla NSS 庫并調(diào)用其中存在漏洞的 API 函數(shù)。

2、官方修復(fù)建議

當(dāng)前官方已發(fā)布受影響版本的對應(yīng)補(bǔ)丁,建議受影響的用戶及時查看當(dāng)前所使用的軟件是否已更新相應(yīng)的補(bǔ)丁。Mozilla 發(fā)布的 NSS 補(bǔ)丁的鏈接如下:

https://hg.mozilla.org/projects/nss/rev/dea71cbef9e03636f37c6cb120f8deccce6e17dd