ProHoster > Blog > talafou initaneti > Fa'aletonu le fa'atinoina o tulafono ile Mozilla NSS pe a fa'agasolo tusi pasi

Fa'aletonu le fa'atinoina o tulafono ile Mozilla NSS pe a fa'agasolo tusi pasi

O se faʻafitauli matuia (CVE-2021-43527) ua faʻaalia i totonu o le NSS (Network Security Services) seti o faletusi faʻataʻitaʻi na atiaʻe e Mozilla, lea e mafai ona taʻitaʻia ai le faʻataunuʻuina o le code attacker pe a faʻaogaina saini numera DSA poʻo RSA-PSS faʻamaonia e faʻaaoga ai le DER encoding metotia ( Distinguished Encoding Rules). O le mataupu, codenamed BigSig, ua foia i NSS 3.73 ma NSS ESR 3.68.1. O fa'afouga fa'aputuga i tufatufaga e avanoa mo Debian, RHEL, Ubuntu, SUSE, Arch Linux, Gentoo, FreeBSD. E leai ni fa'afouga avanoa mo Fedora.

O le faʻafitauli e tupu i talosaga e faʻaogaina le NSS e faʻatautaia CMS, S/MIME, PKCS #7 ma PKCS #12 saini numera, poʻo pe a faʻamaonia tusi faamaonia i TLS, X.509, OCSP ma CRL faʻatinoga. O le fa'aletonu e mafai ona fa'aalia i le tele o talosaga a le tagata fa'atau ma le server e lagolagoina TLS, DTLS ma S/MIME, imeli ma tagata matamata PDF e fa'aogaina le NSS CERT_VerifyCertificate() valaau e fa'amaonia saini numera.

LibreOffice, Evolution ma Evince o loʻo taʻua o ni faʻataʻitaʻiga o talosaga vaivai. E mafai, o le faʻafitauli e mafai foi ona aʻafia ai galuega faatino e pei ole Pidgin, Apache OpenOffice, Suricata, Curl, Chrony, Red Hat Directory Server, Red Hat Certificate System, mod_nss mo le Apache http server, Oracle Communications Messaging Server, Oracle Directory Server Enterprise Edition. Ae ui i lea, o le faʻafitauli e le o aliali mai i Firefox, Thunderbird ma Tor Browser, lea e faʻaogaina se isi mozilla:: pkix faletusi, e aofia ai foi i le NSS, mo le faʻamaonia. O su'esu'ega fa'avae Chromium (se'i vagana ua fausia fa'apitoa i le NSS), lea na fa'aogaina le NSS se'ia o'o i le 2015, ae toe sui i le BoringSSL, e le'o a'afia fo'i i le fa'afitauli.

O le fa'aletonu e mafua mai i se mea sese i le fa'ailoga fa'amaonia tusi i le vfy_CreateContext galuega mai le faila secvfy.c. E tupu le mea sese pe a faitau e le kalani se tusi faamaonia mai le server ma le taimi e faʻatautaia ai e le server tusi faamaonia a le tagata o tausia. Pe a fa'amaonia se saini fa'akomepiuta DER-encoded, e fa'aliliu e le NSS le saini i totonu o se pa'u fa'amaumau ma pasi atu le pa'u i le module PKCS #11. A'o fa'agasolo atili, e le sa'o le siakiina o le lapo'a mo saini DSA ma RSA-PSS, lea e o'o atu ai i le tele o le pa'u ua tu'uina atu mo le VFYContextStr structure pe afai o le tele o le saini numera e sili atu i le 16384 bits (2048 bytes ua fa'asoaina mo le pa, ae e le o siakiina e mafai ona tele le saini) ).

O le fa'ailoga o lo'o i ai le fa'aletonu e mafai ona toe maua i tua i le 2003, ae e le'i fa'amata'u se'ia o'o i le 2012. I le 2017, o le mea lava lea e tasi na faia i le faʻatinoina o le RSA-PSS lagolago. Ina ia faia se osofaʻiga, e le manaʻomia le fausiaina o punaoa faʻapitoa o nisi ki e maua ai faʻamatalaga talafeagai, talu ai o le tafega e tupu i le tulaga aʻo leʻi siakiina le saʻo o le saini numera. O le vaega o faʻamatalaga e alu i tua atu o tuaoi o loʻo tusia i se nofoaga manatua o loʻo i ai faʻailoga i galuega, lea e faʻafaigofie ai le fausiaina o galuega galue.

O le fa'aletonu na maua e tagata su'esu'e mai le Google Project Zero a'o fa'ata'ita'i i metotia fou o su'esu'ega ma o se fa'ata'ita'iga lelei pe fa'afefea ona le iloa fa'aletonu fa'aletonu mo se taimi umi i se fa'ata'ita'iga ta'uta'ua poloketi:

  • O le NSS code o lo'o tausia e se 'au fa'apolopolo poto masani e fa'aaoga ai su'ega fa'aonaponei ma metotia su'esu'e sese. E tele polokalame ua fa'atulaga e totogi ai taui taua mo le fa'ailoaina o fa'aletonu ile NSS.
  • O le NSS o se tasi o poloketi muamua na auai i le Google's oss-fuzz initiative ma sa faʻataʻitaʻiina foi i le Mozilla's libFuzzer-based fuzz testing system.
  • O le numera o le faletusi ua siakiina i le tele o taimi i suʻesuʻega static eseese, e aofia ai le mataʻituina e le Coverity service talu mai le 2008.
  • Seia oʻo i le 2015, na faʻaaogaina le NSS i Google Chrome ma na faʻamaonia tutoatasi e le Google team tutoatasi mai Mozilla (talu mai le 2015, na suia Chrome i BoringSSL, ae o loʻo tumau pea le lagolago mo le NSS-based port).

O faʻafitauli autu na mafua ai ona le iloa le faʻafitauli mo se taimi umi:

  • O le NSS modular library ma suʻega fuzzing na faia e leʻo atoa, ae i le tulaga o vaega taʻitasi. Mo se faʻataʻitaʻiga, o le code mo le decoding DER ma le faʻasologa o tusi faamaonia na siaki ese - i le taimi o le fuzzing, e mafai ona maua se tusi faamaonia lea e oʻo atu ai i le faʻaalia o le faʻafitauli o loʻo fesiligia, ae o lana siaki e leʻi oʻo atu i le faʻamaoniga code ma le faʻafitauli e leʻi maua. fa'aalia o ia lava.
  • I le taimi o suʻega fuzzing, faʻatapulaʻa faʻatapulaʻaina na tuʻuina i luga o le tele o gaosiga (10000 bytes) i le leai o ni faʻatapulaʻa tutusa i le NSS (o le tele o fausaga i le tulaga masani e mafai ona sili atu i le 10000 bytes, o lea e manaʻomia ai le tele o faʻamatalaga faʻamatalaga e iloa ai faʻafitauli) . Mo le fa'amaoniga atoatoa, o le tapula'a e tatau ona 224-1 paita (16 MB), lea e fetaui ma le maualuga o le tusi fa'atagaina i le TLS.
  • Fa'amatalaga sese e uiga i le fa'avasegaina o tulafono ole su'ega fuzz. Na fa'ata'ita'i malosi le fa'ailoga vaivai, ae fa'aaoga fuzzers e le mafai ona fa'atupuina fa'amaumauga e mana'omia. Mo se fa'ata'ita'iga, fuzzer tls_server_target na fa'aogaina se seti o tusi pasi ua uma ona fai, lea e fa'atapula'a ai le siakiina o le code verification code i na'o fe'au TLS ma suiga o le setete.

puna: opennet.ru

Faaopoopo i ai se faamatalaga