URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126018
[ Назад ]

Исходное сообщение
"Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов"
Отправлено opennews , 02-Дек-21 17:24

В наборе криптографических библиотек NSS (Network Security Services), развиваемых компанией Mozilla, выявлена критическая уязвимость (CVE-2021-43527), которая может привести к выполнению кода злоумышленника при обработке цифровых подписей DSA или RSA-PSS, заданных с использованием метода кодирования DER (Distinguished Encoding Rules). Проблема, которой присвоено кодовое имя BigSig, устранена в выпусках NSS 3.73 и NSS ESR 3.68.1. Обновления пакетов в дистрибутивах доступны для Debian, RHEL, Ubuntu, Fedora, SUSE, Arch Linux...
Подробнее: https://www.opennet.me/opennews/art.shtml?num=56268

Содержание

Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 17:24 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 17:27 , 02-Дек-21
Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 17:27 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Rev, 17:49 , 02-Дек-21
Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 17:30 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 17:42 , 02-Дек-21
  - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 12:54 , 04-Дек-21
    - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 12:58 , 04-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,f95, 17:42 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Andrey, 09:36 , 03-Дек-21
Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,А где же каменты, 17:40 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,BratishkaErik, 17:49 , 02-Дек-21
  - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 03:23 , 04-Дек-21
    - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 03:23 , 04-Дек-21
    - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Kuromi, 17:55 , 05-Дек-21
Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,ryoken, 17:45 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,НяшМяш, 18:05 , 02-Дек-21
  - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 18:24 , 03-Дек-21
Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 18:55 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 19:41 , 02-Дек-21
  - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 20:54 , 02-Дек-21
    - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 08:05 , 03-Дек-21
Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 22:37 , 02-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 23:14 , 02-Дек-21
  - Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 18:29 , 03-Дек-21
- Уязвимость в Mozilla NSS, позволяющая выполнить код при обра...,Аноним, 03:03 , 04-Дек-21

Сообщения в этом обсуждении

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 17:24

Опенсорс… DSA ещё не занесли в чёрный список? Самое время.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 17:27

 * These packages depend on dev-libs/nss:
app-crypt/qca-2.3.4 (nss ? dev-libs/nss)
net-analyzer/suricata-6.0.4 (dev-libs/nss)
net-im/pidgin-2.14.8 (!gnutls ? dev-libs/nss)
net-misc/chrony-4.1-r2 (nss ? dev-libs/nss)
net-misc/curl-7.80.0 (nss ? dev-libs/nss:0[abi_x86_32(-)?,abi_x86_64(-)?,abi_x86_x32(-)?,abi_mips_n32(-)?,abi_mips_n64(-)?,abi_mips_o32(-)?,abi_s390_32(-)?,abi_s390_64(-)?])
sys-libs/libblockdev-2.26 (escrow ? >=dev-libs/nss-3.18.0)
www-client/firefox-94.0 (>=dev-libs/nss-3.71)

по-сути, только суриката и фф (согласно пакетному менеджеру).

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 17:27

Объясните, как ssl, которая делается за кружкой пива в один вечер, может занимать столько лет и такой объем ненужнофигни ?

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Rev , 02-Дек-21 17:49

За вечер оно делается используя библиотеки. А именно в одной из них найдена ошибка.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 17:30

Не вижу обновлений в Fedora даже в testing:
dnf update --enablerepo=updates-testing 'nss*'

Стоят:
nss-3.71.0-1.fc35.x86_64
nss-devel-3.71.0-1.fc35.x86_64
nss-mdns-0.15.1-2.fc35.x86_64
nss-pem-1.0.8-1.fc35.x86_64
- всё это прилетело 10 ноября.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 17:42

В генту 3.73. Федора не самый современный дистр, обычно лаг исправлений очень большой. Но в генту тоже полгода назад добавили поломанную glibc и только вчера дали возможность отключить clone3 -- всё это время песочница не работала в старых билдах хромоподелок. И в фф тоже. Полгода прошло.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 04-Дек-21 12:54

> добавили поломанную glibc...
А подробнее можно?

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 04-Дек-21 12:58

>> добавили поломанную glibc...
> А подробнее можно?
https://duckduckgo.com/?t=ffab&q=glibc+2.34+clone3&ia=web
https://gitweb.gentoo.org/repo/gentoo.git/commit/sys-libs/gl...

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено f95 , 02-Дек-21 17:42

А что там тестить, чинить надо... В Дебиане, например, есть во всех стабильных, но не в testing.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Andrey , 03-Дек-21 09:36

Зеркала старые? У меня на двух машинах обновилось, на одной не захотело.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено А где же каменты , 02-Дек-21 17:40

А нсс кто-нибудь кроме фф использует?

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено BratishkaErik , 02-Дек-21 17:49

> В качестве примера уязвимых приложений упоминаются LibreOffice, Evolution и Evince. Потенциально проблема также может затрагивать такие проекты, как Pidgin, Apache OpenOffice, Suricata, Curl, Сhrony, Red Hat Directory Server, Red Hat Certificate System, mod_nss для http-сервера Apache, Oracle Communications Messaging Server, Oracle Directory Server Enterprise Edition.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 04-Дек-21 03:23

Энтерпрайзщина.
Из всего перечисленного всерьез можно рассматривать разве что curl.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 04-Дек-21 03:23

Ну и chrony еще, ок.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Kuromi , 05-Дек-21 17:55

Ну разумеется же. Тот факт что Ред Хат Мозилле за NSS приплачивает даже и не новость. У них та мопять эе контакты есть и в случае чего вопросы можно решить, а широкий круг пользователей - NSS даже и не гнались за этим никогда.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено ryoken , 02-Дек-21 17:45

>>является хорошей демонстрации того, как в широко протестированном известном проекте могут длительное время оставаться незамеченными тривиальные уязвимости
"У 7-ми нянек..."

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено НяшМяш , 02-Дек-21 18:05

> А проверяли бы PVS-Studio, то нашли бы
а не, не та методичка
> А написали бы на расте, не было бы таких уязвимостей
вот, то что надо

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 03-Дек-21 18:24

Да хоть на Ada пусть переписывают или на Pascal, надоели со своими одними и теми же ошибками с размером буфера.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 18:55

Правильно! Нечаво проверять входные данные, это тики процессора жрет и компухтер тормозить будет!

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 19:41

> тики процессора жрет и компухтер тормозить будет!
С каких пор прораммистов это [снова] волнует?

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 20:54

Предложите другую причину с каким-то нормальным обоснование почему они это не делают.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 03-Дек-21 08:05

https://habr.com/ru/post/151603/

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 22:37

Почему Мозилла до сих пор не переписала всё на Rust?
Им же заняться больше нечем - они и так уже все полимеры...

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 02-Дек-21 23:14

А разве они не поувольняли программистов ?

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 03-Дек-21 18:29

Им нужно тогда переименовать "уязвимость" в "особенность" и затравить в твитторе всех кто указывает на недостатки их ПО.

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."
Отправлено Аноним , 04-Дек-21 03:03

Так эта уязвимость firefox не затрагивает.