現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2014-73

Mozilla Foundation セキュリティアドバイザリ 2014-73

タイトル: NSS における RSA 署名偽造
重要度: 最高
公開日: 2014/09/24
報告者: Antoine Delignat-Lavaud
影響を受ける製品: Firefox、Thunderbird、SeaMonkey、NSS、Firefox OS

修正済みのバージョン: Firefox 32.0.3
  Firefox ESR 24.8.1
  Firefox ESR 31.1.1
  Thunderbird 31.1.2
  Thunderbird 24.8.1
  SeaMonkey 2.29.1
  NSS 3.16.2.1
  NSS 3.16.5
  NSS 3.17.1
  Firefox OS 2.2

概要

Network Security Services (NSS) ライブラリの全バージョンに影響する問題が、Inria Paris の Prosecco チームに所属するセキュリティ研究者 Antoine Delignat-Lavaud 氏によって報告されました。同氏は、NSS が以前 Daniel Bleichenbacher 氏によって発表された署名偽造攻撃の変種に対し脆弱であることを発見しました。これは、署名に関わる ASN.1 値のパーサが寛大な解釈をしていることによるもので、RSA 証明書の偽造につながる恐れがありました。

Intel Security の Advanced Threat Research チームも、この問題を独自に発見、報告しました。

これらは、影響を受ける Mozilla 製品に搭載される NSS の最新版で修正されました。

NSS 3.17 を使用しているプロジェクトは新バージョン 3.17.1 へ更新してください。

参考資料