Wararka ku saabsan ogaanshaha baylahda halista ah (horey ugu taxan CVE-2021-43527) en set ee maktabadaha cryptographic NSS (Adeegyada Amniga Shabakadda) Mozilla taas oo horseedi karta fulinta code xaasidnimo ah marka la farsameynayo DSA ama RSA-PSS saxeexyada dhijitaalka ah ee lagu cayimay iyadoo la isticmaalayo DER
Dhibaatada waxay isku muujisaa arjiyada isticmaala NSS si ay u qabtaan saxeexyada dhijitaalka ah CMS, S/MIME, PKCS # 7 iyo PKCS # 12, ama marka la xaqiijinayo shahaadooyinka meelaynta TLS, X.509, OCSP iyo CRL. Nuglaanta ayaa ku soo bixi karta codsiyo macmiil oo kala duwan oo leh TLS, DTLS, iyo S/MIME, macaamiisha iimaylka, iyo daawadayaasha PDF ee isticmaala NSS CERT_VerifyCertificate () wac si loo xaqiijiyo saxeexyada dhijitaalka ah.
LibreOffice, Evolution iyo Evince ayaa lagu xusay tusaaleyaal codsiyada nugul. Sida suurtogalka ah, dhibaatadu waxay sidoo kale saameyn kartaa mashaariicda sida Pidgin, Apache OpenOffice, Suricata, Curl, iyo kuwo kale.
Isla mar ahaantaana, nuglaanta kama muuqato Firefox, Thunderbird iyo Tor Browser, oo adeegsata mozilla gooni ah :: maktabad pkix si loo xaqiijiyo, taas oo sidoo kale qayb ka ah NSS. The daalacashada ku salaysan Chrome (haddii aan si gaar ah loogu soo ururin NSS), oo isticmaalaysay NSS ilaa 2015, ka dibna loo gudbiyay BoringSSL, dhibku ma saameeyaan.
Nuglaanta waxaa sabab u ah cilad ku jirta summada xaqiijinta shahaadada ee vfy_CreateContext shaqada faylka secvfy.c. Khaladku wuxuu muujiyaa labadaba marka macmiilku akhriyo shahaadada server-ka sida marka server-ku uu farsameeyo shahaadooyinka macmiilka.
Marka la xaqiijinayo saxeexa dhijitaalka ah ee DER-encoded, NSS waxa ay saxeexa u dejisaa meel go'an oo kaydiya oo u gudbisa qaybta PKCS # 11. Inta lagu jiro hawsha ka dib, saxeexyada DSA iyo RSA-PSS, cabbirka si khaldan ayaa loo xaqiijiyaa, taasoo keentay taas oo horseedaysa qulqulka kaydka loo qoondeeyay qaab dhismeedka VFYContextStr, haddii cabbirka saxeexa dhijitaalka ahi uu dhaafo 16384 bits (2048 bytes ayaa loo qoondeeyay kaydiyaha, laakiin lama xaqiijin in saxeexu ka weynaan karo).
Koodhka ka kooban baylahdu waxa uu soo bilaabmay 2003dii, laakiin ma ahayn khatar ilaa dib-u-cusbooneysiin 2012. 2017, isla qaladkaas ayaa la sameeyay markii la hirgeliyay taageerada RSA-PSS. Si loo qaado weerar, jiil kheyraad leh oo furayaal gaar ah looma baahna si loo helo xogta lagama maarmaanka ah, maadaama qulqulka qulqulka uu ku dhaco marxaladda ka hor inta aan la xaqiijin ansaxnimada saxiixa dhijitaalka ah. Qaybta ka baxsan xadka ee xogta waxaa loo qoraa meel xusuusta oo ka kooban tilmaameyaal shaqo, taas oo sahlaysa in la abuuro faa'iidooyin shaqo.
Nuglaanta waxaa aqoonsaday cilmi-baarayaasha Google Project Zero inta lagu guda jiro tijaabooyinka habab cusub oo tijaabo ah waana muujin wanaagsan oo muujinaya sida baylahda yar-yar ay u noqon karaan kuwo aan la ogaan muddo dheer mashruuc si wanaagsan loo tijaabiyey.
Sida for mashaakilaadka ugu waaweyn ee dhibka ka dhashay aan la dareemin muddo dheer:
- Maktabaddii wadista NSS-ta iyo imtixaannada qallafsan lama samayn gebi ahaantood, laakiin waxa la sameeyay heer shakhsiyeed.
- Tusaale ahaan, koodka si loo dejiyo DER iyo habsocodka shahaadooyinka si gaar ah ayaa loo xaqiijiyay; Inta lagu guda jiro jahwareerka, shahaado si fiican ayaa loo heli karaa, taasoo keentay muujinta baylahda su'aasha, laakiin xaqiijinteedu ma gaarin code xaqiijinta dhibaatada lama shaacin.
- Inta lagu guda jiro imtixaanada jahawareerka, xad adag ayaa la dejiyay cabbirka wax soo saarka (10,000 bytes) maqnaanshaha xaddidaadaha NSS (qaabab badan oo qaab caadi ah ayaa ka weyn kara 10,000 bytes, sidaa darteed, si loo aqoonsado dhibaatooyinka, xog dheeri ah ayaa loo baahan yahay). ). Xaqiijinta buuxda, xadku waa inuu ahaadaa 2 24 -1 bytes (16 MB), taasoo u dhiganta inta ugu badan ee shahaado lagu oggol yahay TLS.
- Fikirka khaldan ee ku saabsan caymiska koodhka iyadoo la adeegsanayo imtixaanada qallafsan. Koodhka nugul si firfircoon ayaa loo tijaabiyay, laakiin la isticmaalayo fuzers, kuwaas oo awoodi waayay inay soo saaraan xogta gelinta ee loo baahan yahay. Tusaale ahaan, fuzzer tls_server_target waxa ay adeegsatay shahaado hore loo sii qeexay oo ka baxsan sanduuqa, taas oo ku xaddiday xaqiijinta koodhka xaqiijinta shahaado kaliya fariimaha TLS iyo hab-maamuuska isbedelada gobolka.
Ugu dambeyntii, Waxaa xusid mudan in dhibka leh nambarka BigSig lagu hagaajiyay NSS 3.73 iyo NSS ESR 3.68.1 iyo cusboonaysiinta xalka ee qaabka xirmada ayaa mar hore lagu sii daayay qaybinta kala duwan: Debian, RHEL, Ubuntu, SUSE, Arch Linux, Gentoo, FreeBSD, iwm.
Haddii aad rabto inaad waxbadan ka ogaato, waad la tashan kartaa xiriirka soo socda.