Se
ha anunciado una vulnerabilidad en las librerías NSS (Network Security Services o Servicios de Seguridad de Red) de Mozilla que
podría permitir a un atacante remoto la falsificación de certificados en
aplicaciones que hagan uso de estas librerías.
Los Servicios de Seguridad de
Red (Network Security Services (NSS))
son un conjunto de librerías diseñadas para ayudar a la incorporación de protocolos
de seguridad en el desarrollo de aplicaciones para servidor y cliente en
múltiples plataformas. Las aplicaciones desarrolladas con NSS pueden admitir
SSL v2 y v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, certificados
X.509 v3, y otros estándares de seguridad.
El problema, con
CVE-2014-1568,
reside en que la librería no trata adecuadamente valores ASN.1 en una firma
digital. Un usuario podría construir un ataque de
falsificación de firma contra
el algoritmo RSA (una variante de uno publicado anteriormente por Daniel
Bleichenbacher), con lo que
podría crear un certificado falsificado.
Se han publicado las versiones Firefox
32.0.3, Firefox ESR 24.8.1, Firefox ESR 31.1.1, Thunderbird 31.1.2, Thunderbird
24.8.1, SeaMonkey 2.29.1, NSS 3.16.2.1, NSS 3.16.5, NSS 3.17.1 y Google Chrome 37.0.2062.124
para Windows y Mac.
Todos los proyectos que hagan uso
de NSS 3.17 deben actualizar a la nueva versión 3.17.1.
Más información:
RSA Signature Forgery in NSS
Stable Channel Update
Antonio Ropero