网络安全服务库(NSS)是一组用于跨平台开发安全客户端与服务器应用的库,提供服务器端硬件 tls/SSL 加速和客户端智能卡的可选支持。经厂商发布安保更新,发现该库存在可被远程利用的执行任意代码漏洞,现已提供修复版本。以下为要点整理:
漏洞详情
CVE-2021-43527 严重程度:高
NSS 在验证 DSA/RSA-PSS 签名时处理逻辑存在错误。远程攻击者可利用该问题导致 NSS 服务崩溃,从而造成拒绝服务,甚至可能执行任意代码。
受影响的发行版本
本次漏洞影响的发行版本包含 21.10、21.04、20.04 LTS、18.04 LTS 对应的包版本。
解决方案
官方已发布更新,修复了上述漏洞。通过将系统更新到以下软件包版本可获得修复:
- 21.10 版本:libnSS3 – 2:3.68-1Ubuntu1.1
- 21.04 版本:libnSS3 – 2:3.61-1Ubuntu2.1
- 20.04 版本:libnSS3 – 2:3.49.1-1Ubuntu1.6
- 18.04 版本:libnSS3 – 2:3.35-2Ubuntu2.13
如需了解更多漏洞信息及升级,请以官方渠道为准。
