Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Mozilla NSS, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΊΠΎΠ΄ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ сСртификатов

Π’ Π½Π°Π±ΠΎΡ€Π΅ криптографичСских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊ NSS (Network Security Services), Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Mozilla, выявлСна критичСская ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2021-43527), которая ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ ΠΊΠΎΠ΄Π° Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй DSA ΠΈΠ»ΠΈ RSA-PSS, Π·Π°Π΄Π°Π½Π½Ρ‹Ρ… с использованиСм ΠΌΠ΅Ρ‚ΠΎΠ΄Π° кодирования DER (Distinguished Encoding Rules). ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ°, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ присвоСно ΠΊΠΎΠ΄ΠΎΠ²ΠΎΠ΅ имя BigSig, устранСна Π² выпусках NSS 3.73 ΠΈ NSS ESR 3.68.1. ОбновлСния ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π² дистрибутивах доступны для Debian, RHEL, Ubuntu, SUSE, Arch Linux, Gentoo, FreeBSD. Пока нСдоступны обновлСния для Fedora.

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся Π² прилоТСниях, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… NSS для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй CMS, S/MIME, PKCS #7 ΠΈ PKCS #12, ΠΈΠ»ΠΈ ΠΏΡ€ΠΈ Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ сСртификатов Π² рСализациях TLS, X.509, OCSP ΠΈ CRL. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ Π²ΡΠΏΠ»Ρ‹Ρ‚ΡŒ Π² Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… клиСнтских ΠΈ сСрвСрных прилоТСниях с ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΎΠΉ TLS, DTLS ΠΈ S/MIME, ΠΏΠΎΡ‡Ρ‚ΠΎΠ²Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°Ρ… ΠΈ PDF-просмотрщиках, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΡ… NSS-Π²Ρ‹Π·ΠΎΠ² CERT_VerifyCertificate() для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй.

Π’ качСствС ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π° уязвимых ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΡƒΠΏΠΎΠΌΠΈΠ½Π°ΡŽΡ‚ΡΡ LibreOffice, Evolution ΠΈ Evince. ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Ρ‚ΡŒ Ρ‚Π°ΠΊΠΈΠ΅ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹, ΠΊΠ°ΠΊ Pidgin, Apache OpenOffice, Suricata, Curl, Π‘hrony, Red Hat Directory Server, Red Hat Certificate System, mod_nss для http-сСрвСра Apache, Oracle Communications Messaging Server, Oracle Directory Server Enterprise Edition. ΠŸΡ€ΠΈ этом ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½Π΅ проявляСтся Π² Firefox, Thunderbird ΠΈ Tor Browser, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… для Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Π°Ρ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° mozilla::pkix, Ρ‚Π°ΠΊΠΆΠ΅ входящая Π² состав NSS. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹ ΠΈ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Ρ‹ Π½Π° основС Chromium (Ссли ΠΎΠ½ΠΈ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ Π½Π΅ собраны c NSS), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ использовали NSS Π΄ΠΎ 2015 Π³ΠΎΠ΄Π°, Π½ΠΎ Π·Π°Ρ‚Π΅ΠΌ Π±Ρ‹Π»ΠΈ ΠΏΠ΅Ρ€Π΅Π²Π΅Π΄Π΅Π½Ρ‹ Π½Π° BoringSSL.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Ρ‹Π·Π²Π°Π½Π° ошибкой Π² ΠΊΠΎΠ΄Π΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ сСртификатов Π² Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ vfy_CreateContext ΠΈΠ· Ρ„Π°ΠΉΠ»Π° secvfy.c. Ошибка проявляСтся ΠΊΠ°ΠΊ ΠΏΡ€ΠΈ Ρ‡Ρ‚Π΅Π½ΠΈΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠΌ сСртификата с сСрвСра, Ρ‚Π°ΠΊ ΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ сСрвСром сСртификатов ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ². Π’ процСссС ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи, Π·Π°ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠΌ DER, NSS Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΡƒΠ΅Ρ‚ подпись Π² Π±ΡƒΡ„Π΅Ρ€, ΠΈΠΌΠ΅ΡŽΡ‰ΠΈΠΉ фиксированный Ρ€Π°Π·ΠΌΠ΅Ρ€, ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‘Ρ‚ Π΄Π°Π½Π½Ρ‹ΠΉ Π±ΡƒΡ„Π΅Ρ€ Π² ΠΌΠΎΠ΄ΡƒΠ»ΡŒ PKCS #11. ΠŸΡ€ΠΈ дальнСйшСй ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅, для подписСй DSA ΠΈ RSA-PSS Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎ провСряСтся Ρ€Π°Π·ΠΌΠ΅Ρ€, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ Π±ΡƒΡ„Π΅Ρ€Π°, Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ структуру VFYContextStr, Ссли Ρ€Π°Π·ΠΌΠ΅Ρ€ Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи ΠΏΡ€Π΅Π²Ρ‹ΡˆΠ°Π΅Ρ‚ 16384 Π±ΠΈΡ‚ (ΠΏΠΎΠ΄ Π±ΡƒΡ„Π΅Ρ€ выдСляСтся 2048 Π±Π°ΠΉΡ‚, Π½ΠΎ Π½Π΅ провСряСтся, Ρ‡Ρ‚ΠΎ подпись ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ большСго Ρ€Π°Π·ΠΌΠ΅Ρ€Π°).

Π‘ΠΎΠ΄Π΅Ρ€ΠΆΠ°Ρ‰ΠΈΠΉ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΊΠΎΠ΄ прослСТиваСтся с 2003 Π³ΠΎΠ΄Π°, Π½ΠΎ ΠΎΠ½ Π½Π΅ прСдставлял ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ Π΄ΠΎ Ρ€Π΅Ρ„Π°ΠΊΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, ΠΏΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½Π½ΠΎΠ³ΠΎ Π² 2012 Π³ΠΎΠ΄Ρƒ. Π’ 2017 Π³ΠΎΠ΄Ρƒ ΠΏΡ€ΠΈ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ RSA-PSS Π±Ρ‹Π»Π° Π΄ΠΎΠΏΡƒΡ‰Π΅Π½Π° Ρ‚Π° ΠΆΠ΅ ошибка. Для ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π°Ρ‚Π°ΠΊΠΈ Π½Π΅ трСбуСтся рСсурсоёмкая гСнСрация ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ для получСния Π½ΡƒΠΆΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ происходит Π½Π° стадии Π΄ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ коррСктности Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи. Выходящая Π·Π° Π³Ρ€Π°Π½ΠΈΡ†Ρ‹ Ρ‡Π°ΡΡ‚ΡŒ Π΄Π°Π½Π½Ρ‹Ρ… записываСтся Π² ΠΎΠ±Π»Π°ΡΡ‚ΡŒ памяти, ΡΠΎΠ΄Π΅Ρ€ΠΆΠ°Ρ‰ΡƒΡŽ ΡƒΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ Π½Π° Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, Ρ‡Ρ‚ΠΎ ΡƒΠΏΡ€ΠΎΡ‰Π°Π΅Ρ‚ созданиС Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… эксплоитов.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° выявлСна исслСдоватСлями ΠΈΠ· Google Project Zero Π² Ρ…ΠΎΠ΄Π΅ экспСримСнтов с Π½ΠΎΠ²Ρ‹ΠΌΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°ΠΌΠΈ fuzzing-тСстирования ΠΈ являСтся Ρ…ΠΎΡ€ΠΎΡˆΠ΅ΠΉ дСмонстрации Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ Π² ΡˆΠΈΡ€ΠΎΠΊΠΎ протСстированном извСстном ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π΅ ΠΌΠΎΠ³ΡƒΡ‚ Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ врСмя ΠΎΡΡ‚Π°Π²Π°Ρ‚ΡŒΡΡ Π½Π΅Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΌΠΈ Ρ‚Ρ€ΠΈΠ²ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ уязвимости:

  • Код NSS сопровоТдаСтся ΠΎΠΏΡ‹Ρ‚Π½ΠΎΠΉ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰Π΅ΠΉ Π·Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ, ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‰Π΅ΠΉ соврСмСнныС ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ тСстирования ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° ошибок. ДСйствуСт нСсколько ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΏΠΎ Π²Ρ‹ΠΏΠ»Π°Ρ‚Π΅ сущСствСнных Π²ΠΎΠ·Π½Π°Π³Ρ€Π°ΠΆΠ΄Π΅Π½ΠΈΠΉ Π·Π° выявлСниС уязвимостСй Π² NSS.
  • NSS Π±Ρ‹Π» ΠΎΠ΄Π½ΠΈΠΌ ΠΈΠ· ΠΏΠ΅Ρ€Π²Ρ‹Ρ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ² ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΠ²ΡˆΠΈΡ…ΡΡ Π² ΠΈΠ½ΠΈΡ†ΠΈΠ°Ρ‚ΠΈΠ²Π΅ Google oss-fuzz ΠΈ Ρ‚Π°ΠΊΠΆΠ΅ провСрялся Π² Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅ΠΌΠΎΠΉ Mozilla систСмС fuzzing-тСстирования Π½Π° Π±Π°Π·Π΅ libFuzzer.
  • Код Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ ΠΌΠ½ΠΎΠ³ΠΎΠΊΡ€Π°Ρ‚Π½ΠΎ провСрялся Π² Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… статичСских Π°Π½Π°Π»ΠΈΠ·Π°Ρ‚ΠΎΡ€Π°Ρ…, Π² Ρ‚ΠΎΠΌ числС с 2008 Π³ΠΎΠ΄Π° отслСТивался сСрвисом Coverity.
  • Π”ΠΎ 2015 Π³ΠΎΠ΄Π° NSS использовался Π² Google Chrome ΠΈ нСзависимо ΠΎΡ‚ Mozilla провСрялся ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ Google (с 2015 Π³ΠΎΠ΄Π° Chrome ΠΏΠ΅Ρ€Π΅ΡˆΡ‘Π» Π½Π° BoringSSL, Π½ΠΎ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° ΠΏΠΎΡ€Ρ‚Π° Π½Π° Π±Π°Π·Π΅ NSS сохраняСтся).

ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹, ΠΈΠ·-Π·Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π΄ΠΎΠ»Π³ΠΎΠ΅ врСмя ΠΎΡΡ‚Π°Π²Π°Π»Π°ΡΡŒ Π½Π΅Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Π½ΠΎΠΉ:

  • NSS ΠΌΠΎΠ΄ΡƒΠ»ΡŒΠ½Π°Ρ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° ΠΈ fuzzing-тСстированиС ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠ»ΠΎΡΡŒ Π½Π΅ Π² Ρ†Π΅Π»ΠΎΠΌ, Π° Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠ². НапримСр, ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎ провСрялся ΠΊΠΎΠ΄ дСкодирования DER ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ сСртификатов — Π² Ρ…ΠΎΠ΄Π΅ fuzzing-Π° Π²ΠΏΠΎΠ»Π½Π΅ ΠΌΠΎΠ³ Π±Ρ‹Ρ‚ΡŒ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ сСртификат, приводящий ΠΊ ΠΏΡ€ΠΎΡΠ²Π»Π΅Π½ΠΈΡŽ рассматриваСмой уязвимости, Π½ΠΎ Π΅Π³ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° Π½Π΅ Π΄ΠΎΡ…ΠΎΠ΄ΠΈΠ»Π° Π΄ΠΎ ΠΊΠΎΠ΄Π° Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΈ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π½Π΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π»Π° сСбя.
  • ΠŸΡ€ΠΈ fuzzing-тСстировании задавались ТёсткиС ограничСния Π½Π° Ρ€Π°Π·ΠΌΠ΅Ρ€ Π²Ρ‹Π²ΠΎΠ΄Π° (10000 Π±Π°ΠΉΡ‚) ΠΏΡ€ΠΈ отсутствии ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠΉ Π² NSS (ΠΌΠ½ΠΎΠ³ΠΈΠ΅ структуры Π² ΡˆΡ‚Π°Ρ‚Π½ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅ ΠΌΠΎΠ³Π»ΠΈ ΠΈΠΌΠ΅Ρ‚ΡŒ Ρ€Π°Π·ΠΌΠ΅Ρ€ большС 10000 Π±Π°ΠΉΡ‚, поэтому для выявлСния ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ трСбовался больший ΠΎΠ±ΡŠΡ‘ΠΌ Π²Ρ…ΠΎΠ΄Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…). Для ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½ΠΎΠΉ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π»ΠΈΠΌΠΈΡ‚ Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Π» Π±Ρ‹Ρ‚ΡŒ 224-1 Π±Π°ΠΉΡ‚ (16 ΠœΠ‘), Ρ‡Ρ‚ΠΎ соотвСтствуСт ΠΌΠ°ΠΊΡΠΈΠΌΠ°Π»ΡŒΠ½ΠΎΠΌΡƒ Ρ€Π°Π·ΠΌΠ΅Ρ€Ρƒ сСртификата, допустимого Π² TLS.
  • НСвСрноС прСдставлСниС ΠΎΠ± ΠΎΡ…Π²Π°Ρ‚Π΅ ΠΊΠΎΠ΄Π° fuzzing-тСстированиСм. Уязвимый ΠΊΠΎΠ΄ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ тСстировался, Π½ΠΎ с использованиСм fuzzer-ΠΎΠ², Π½Π΅ способных ΡΠ³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Π΅ Π²Ρ…ΠΎΠ΄Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅. НапримСр, fuzzer tls_server_target использовал ΠΏΡ€Π΅Π΄ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ Π³ΠΎΡ‚ΠΎΠ²Ρ‹Ρ… сСртификатов, Ρ‡Ρ‚ΠΎ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΠ²Π°Π»ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ ΠΊΠΎΠ΄Π° Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ сСртификата Ρ‚ΠΎΠ»ΡŒΠΊΠΎ TLS-сообщСниями ΠΈ измСнСниями состояния ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru