DER로 인코딩된 DSA 및 RSA-PSS 서명을 통한 메모리 손상 취약점(CVE-2021-43527) 주의!

Mozilla Network Security Services(NSS)에서 DER로 인코딩된 DSA 및 RSA-PSS 서명을 통한 메모리 손상 취약점이 발견되었습니다.

- DER로 인코딩된 DSA 또는 RSA-PSS 서명을 처리할 때 3.73 또는 3.68.1 ESR 이전의 NSS(Network Security Service) 버전에서 힙 오버플로가 발생할 수 있습니다. 
- NSS를 사용하여 CMS, S/MIME, pkcs# 7 또는 pkcs# 12로 인코딩된 서명을 처리하는 응용 프로그램이 영향을 받을 수 있습니다. 
- NSS 구성 방식에 따라 인증서 확인 또는 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션이 영향을 받을 수 있습니다. 


해당 취약점은 Mozilla Firefox에는 영향을 미치지 않지만, 이메일 클라이언트, PDF 뷰어 및 서명 확인을 위해 NSS에 의존하는 Red Hat, Thunderbird, LibreOffice, Evolution 및 Evince와 같은 기타 애플리케이션은 취약합니다.

 

 

영향받는 버전

 

Mozilla:NSS 3.73 이전 모든 버전 
Mozilla:NSS 3.68.1 이전 모든 버전

 

 

패치방법

Mozilla:NSS 3.73로 업데이트
Mozilla:NSS  3.68.1로 업데이트

 

 

출처 :
https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/#CVE-2021-43527

https://thehackernews.com/2021/12/critical-bug-in-mozillas-nss-crypto.html