1、组件介绍

Mozilla NSS 是一系列支持跨平台的安全开发库，它通过服务端的 TLS/SSL 硬件加速和客户端可选的智能卡，为服务端和客户端应用程序提供安全保护。

2、漏洞描述

2021年12月1日，深信服安全团队监测到一则 Mozilla NSS 组件存在堆溢出漏洞的信息，漏洞编号：CVE-2021-43527，漏洞威胁等级：高危。值得注意的是 Mozilla FireFox 浏览器并不受此漏洞影响。

该漏洞是由于其库中的函数向 VFYContextStr 结构体复制数据时没有对数据大小进行限制，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击或拒绝服务攻击，最终获取服务器最高权限或造成服务器拒绝服务

Mozilla NSS 安全开发库被广泛用于各种应用程序，包括 Thunderbird、LibreOffice、Apache OpenOffice，Red Hat 服务器产品如Red Hat Directory Server，Oracle 服务器产品如 Oracle Communication Messaging Server 等。

目前受影响的 Mozilla NSS 版本：

Mozilla NSS < 3.73

Mozilla NSS < 3.68.1 ESR

1、如何检测应用程序是否受影响

请根据软件的说明文档或至软件官网查询其是否使用 Mozilla NSS 库并调用其中存在漏洞的 API 函数。

2、官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时查看当前所使用的软件是否已更新相应的补丁。Mozilla 发布的 NSS 补丁的链接如下：

https://hg.mozilla.org/projects/nss/rev/dea71cbef9e03636f37c6cb120f8deccce6e17dd