The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов"  +/
Сообщение от opennews (??), 02-Дек-21, 17:24 
В наборе криптографических библиотек NSS (Network Security Services), развиваемых компанией Mozilla, выявлена критическая уязвимость (CVE-2021-43527), которая может привести к выполнению кода злоумышленника при обработке цифровых подписей DSA или RSA-PSS, заданных с использованием метода кодирования DER (Distinguished Encoding Rules). Проблема, которой присвоено кодовое имя BigSig, устранена в выпусках NSS 3.73 и NSS ESR 3.68.1. Обновления пакетов в дистрибутивах доступны для Debian, RHEL, Ubuntu, Fedora, SUSE, Arch Linux...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56268

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  –12 +/
Сообщение от Аноним (1), 02-Дек-21, 17:24 
Опенсорс… DSA ещё не занесли в чёрный список? Самое время.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (1), 02-Дек-21, 17:27 
 * These packages depend on dev-libs/nss:
app-crypt/qca-2.3.4 (nss ? dev-libs/nss)
net-analyzer/suricata-6.0.4 (dev-libs/nss)
net-im/pidgin-2.14.8 (!gnutls ? dev-libs/nss)
net-misc/chrony-4.1-r2 (nss ? dev-libs/nss)
net-misc/curl-7.80.0 (nss ? dev-libs/nss:0[abi_x86_32(-)?,abi_x86_64(-)?,abi_x86_x32(-)?,abi_mips_n32(-)?,abi_mips_n64(-)?,abi_mips_o32(-)?,abi_s390_32(-)?,abi_s390_64(-)?])
sys-libs/libblockdev-2.26 (escrow ? >=dev-libs/nss-3.18.0)
www-client/firefox-94.0 (>=dev-libs/nss-3.71)

по-сути, только суриката и фф (согласно пакетному менеджеру).

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  –14 +/
Сообщение от Аноним (-), 02-Дек-21, 17:27 
Объясните, как ssl, которая делается за кружкой пива в один вечер, может занимать столько лет и такой объем ненужнофигни ?
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +9 +/
Сообщение от Rev (?), 02-Дек-21, 17:49 
За вечер оно делается используя библиотеки. А именно в одной из них найдена ошибка.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (4), 02-Дек-21, 17:30 
Не вижу обновлений в Fedora даже в testing:

dnf update --enablerepo=updates-testing 'nss*'


Стоят:

nss-3.71.0-1.fc35.x86_64
nss-devel-3.71.0-1.fc35.x86_64
nss-mdns-0.15.1-2.fc35.x86_64
nss-pem-1.0.8-1.fc35.x86_64

- всё это прилетело 10 ноября.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (1), 02-Дек-21, 17:42 
В генту 3.73. Федора не самый современный дистр, обычно лаг исправлений очень большой. Но в генту тоже полгода назад добавили поломанную glibc и только вчера дали возможность отключить clone3 -- всё это время песочница не работала в старых билдах хромоподелок. И в фф тоже. Полгода прошло.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (34), 04-Дек-21, 12:54 
> добавили поломанную glibc...

А подробнее можно?

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (1), 04-Дек-21, 12:58 
>> добавили поломанную glibc...
> А подробнее можно?

https://duckduckgo.com/?t=ffab&q=glibc+2.34+clone3&ia=web

https://gitweb.gentoo.org/repo/gentoo.git/commit/sys-libs/gl...

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от f95 (ok), 02-Дек-21, 17:42 
А что там тестить, чинить надо... В Дебиане, например, есть во всех стабильных, но не в testing.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

26. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Andrey (??), 03-Дек-21, 09:36 
Зеркала старые? У меня на двух машинах обновилось, на одной не захотело.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  –1 +/
Сообщение от А где же каменты (?), 02-Дек-21, 17:40 
А нсс кто-нибудь кроме фф использует?
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +2 +/
Сообщение от BratishkaErik (ok), 02-Дек-21, 17:49 
> В качестве примера уязвимых приложений упоминаются LibreOffice, Evolution и Evince. Потенциально проблема также может затрагивать такие проекты, как Pidgin, Apache OpenOffice, Suricata, Curl, Сhrony, Red Hat Directory Server, Red Hat Certificate System, mod_nss для http-сервера Apache, Oracle Communications Messaging Server, Oracle Directory Server Enterprise Edition.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (32), 04-Дек-21, 03:23 
Энтерпрайзщина.
Из всего перечисленного всерьез можно рассматривать разве что curl.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (32), 04-Дек-21, 03:23 
Ну и chrony еще, ок.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Kuromi (ok), 05-Дек-21, 17:55 
Ну разумеется же. Тот факт что Ред Хат Мозилле за NSS приплачивает даже и не новость. У них та мопять эе контакты есть и в случае чего вопросы можно решить, а широкий круг пользователей - NSS даже и не гнались за этим никогда.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

8. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от ryoken (ok), 02-Дек-21, 17:45 
>>является хорошей демонстрации того, как в широко протестированном известном проекте могут длительное время оставаться незамеченными тривиальные уязвимости

"У 7-ми нянек..."

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +11 +/
Сообщение от НяшМяш (ok), 02-Дек-21, 18:05 
> А проверяли бы PVS-Studio, то нашли бы

а не, не та методичка

> А написали бы на расте, не было бы таких уязвимостей

вот, то что надо

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +2 +/
Сообщение от Аноним (29), 03-Дек-21, 18:24 
Да хоть на Ada пусть переписывают или на Pascal, надоели со своими одними и теми же ошибками с размером буфера.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +3 +/
Сообщение от Аноним (17), 02-Дек-21, 18:55 
Правильно! Нечаво проверять входные данные, это тики процессора жрет и компухтер тормозить будет!
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +1 +/
Сообщение от Аноним (18), 02-Дек-21, 19:41 
> тики процессора жрет и компухтер тормозить будет!

С каких пор прораммистов это [снова] волнует?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (17), 02-Дек-21, 20:54 
Предложите другую причину с каким-то нормальным обоснование почему они это не делают.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (24), 03-Дек-21, 08:05 
https://habr.com/ru/post/151603/
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +2 +/
Сообщение от Аноним (21), 02-Дек-21, 22:37 
Почему Мозилла до сих пор не переписала всё на Rust?

Им же заняться больше нечем - они и так уже все полимеры...

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +7 +/
Сообщение от Аноним (-), 02-Дек-21, 23:14 
А разве они не поувольняли программистов ?
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +1 +/
Сообщение от Аноним (29), 03-Дек-21, 18:29 
Им нужно тогда переименовать "уязвимость" в "особенность" и затравить в твитторе всех кто указывает на недостатки их ПО.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Mozilla NSS, позволяющая выполнить код при обра..."  +/
Сообщение от Аноним (31), 04-Дек-21, 03:03 
Так эта уязвимость firefox не затрагивает.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру