解码 DSA 签名时 RHSB-2021-008 NSS 内存损坏(CVE-2021-43527)

执行摘要

网络安全服务(NSS)是一组库，旨在对启用了安全的客户端和服务器应用程序之间的跨平台通信提供支持。NSS 为各种加密算法和协议提供支持。

在 NSS 验证证书的方法中发现了一个内存损坏缺陷，它可能允许未经授权执行远程代码。  这个缺陷会影响使用 NSS 编译的服务器应用程序（如 Red Hat Identity Management、Red Hat Directory Server）和使用 NSS 加密库的客户端应用程序（如 RHEL 6 和 7 的 curl 命令行工具）。  

客户环境的主要风险在于，受信任的客户端通过 SSL/TLS 连接到不受信任的服务器，或者不受信任的客户端通过客户端证书认证到可信服务器，或者在受信任的客户端/服务器连接之间存在中间人攻击程序。在这些情况下，影响是对受信任的客户端或服务器执行远程代码。这个问题已被记录为 CVE-2021-43527，严重性级别被定为 Critical 。

下列红帽产品版本将会受到直接影响：

• Red Hat Enterprise Linux 6、7 和 8

• Red Hat Virtualization 4

此外，在 Red Hat Enterprise Linux 平台上支持的任何红帽产品都有可能受到影响。这包括：

基于 RHEL 或 UBI 容器镜像的产品容器。  这些镜像会定期更新，指示这个安全漏洞是否修复的容器健康状况可在 Container Health Index （Red Hat Container Catalog 的一部分）中看到 。  此外，任何客户容器都应在更新基础镜像后重新构建。

从 RHEL 渠道拉取软件包的产品（包括分层产品，如 OpenShift Container Platform、Red Hat OpenStack Platform、Red Hat Virtualization 等）。  请确保这些产品环境中底层的 RHEL nss 软件包是最新的。

技术概述

CVE-2021-43527

远程代码执行缺陷是在 NSS 验证证书的方法中发现的。此缺陷允许伪装成 SSL/TLS 服务器的攻击者，在尝试发起 SSL/TLS 连接时，在使用 NSS 编译的客户端应用程序中触发此问题。同样，使用 NSS 编译的处理客户端证书的服务器应用程序可以通过客户端接收恶意证书，从而触发该缺陷。 

此问题不限于 TLS。任何使用 NSS 证书验证的应用程序都存在漏洞；S/MIME 也受到影响。 

Firefox 不受此安全漏洞的影响，因为它使用 mozilla::pkix 进行证书验证。在使用 S/MIME 签名解析电子邮件时，Thunderbird 会受到影响。  Red Hat Enterprise Linux 8.4 及更高版本上的 Thunderbird 不需要更新，因为它使用系统 NSS 库，但早期的 Red Hat Enterprise Linux 8 扩展生命周期流需要更新 Thunderbird 以及 NSS。

缓解方案

目前，还没有对这个安全漏洞的缓解方案。一旦有固定的软件包可用，客户应立即更新。

对受影响产品的更新

我们强烈建议，所有运行受影响版本的红帽产品的用户，在相关勘误可用后尽快进行更新。 

[1] 公告/更新链接将在更新发布后添加。

[2] 什么是 Red Hat Enterprise Linux Extended Update Support (EUS) 订阅?

[3] 什么是 Advanced mission critical Update Support (AUS)?

[4] 什么是 Red Hat Enterprise Linux SAP Solutions 订阅?

[5] 访问此修补程序需要一个有效的延长生命周期支持（ELS）订阅。  如果您的帐户没有一个有效的 ELS 订阅，请联系红帽销售部门或您的销售代表以获取更多信息。

诊断

一个安全漏洞检测脚本已被开发，用来检查您的系统当前是否存在相关的安全漏洞。您可以下载 分离的 GPG 签名 来验证脚本的真实性。红帽客户门户网站上提供了有关如何使用GPG签名进行验证说明。

致谢

红帽认可 Mozilla 项目报告了此问题。上游社区认可 Tavis Ormandy 是该问题的最初报告者。

参考信息

• https://googleprojectzero.blogspot.com/2021/12/this-shouldnt-have-happened.html
• https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/