Mozillaの暗号ライブラリ「NSS」に深刻な脆弱性 - アップデートを公開
Mozilla Foundationは、暗号化通信や署名検証などの機能を提供するオープンソースのライブラリ「Network Security Services(NSS)」に深刻な脆弱性が見つかったことを明らかにした。同ライブラリを利用する製品において影響を受けるおそれがある。
「DER」でエンコードされた「DSA」または「RSA-PSS」による署名を処理した際、データ長を正しく検証せず、ヒープオーバーフローが生じる脆弱性「CVE-2021-43527」が明らかとなったもの。重要度は、4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
「Cryptographic Message Syntax(CMS)」「S/MIME」「PKCS#7」「PKCS#12」においてエンコードされた署名の処理に同ライブラリを用いている場合、脆弱性の影響を受ける。また「TLS}「X.509」「OCSP」「CRL」の処理にNSSを用いている場合も、構成によっては影響があるという。
Mozillaでは、「NSS 3.73」および延長サポート版である「同3.68.1」をリリースした。「Firefox」は脆弱性の影響を受けないとしている。
一方、同ライブラリは広い製品に導入されており、「Thunderbird」のほか、「LibreOffice」「Evolution」「Evince」においてメールやPDFの署名検証にNSSを用いており、脆弱性の影響を受ける可能性がある。脆弱性の判明を受けて、Linuxの一部ディストリビューションでは、同ライブラリのアップデートについて提供を開始している。
(Security NEXT - 2021/12/02 )
ツイート
PR
関連記事
SMTPサーバで設定不備、約17万件のスパム送信 - 奈良女大
保険料の架空請求メール出回る - 電子決済アプリ誘導に警戒を
一部利用者で不正ログイン、注意を喚起 - 時事通信フォト
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
従業員メルアカが不正利用、取引先へ不審メール - トーホー
ランサムウェア被害を確認、詳細は調査中 - FA機器開発会社
委託先で顧客情報流出、無断転用のファイルに残存 - GMOあおぞら銀
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
