በLibKSBA ቤተ-መጽሐፍት ውስጥ፣ በGnuPG ፕሮጀክት ተዘጋጅቶ ከX.509 የምስክር ወረቀቶች ጋር ለመስራት ተግባራትን ሲያቀርብ፣ ወሳኝ የሆነ ተጋላጭነት ተለይቷል (CVE-2022-3515)፣ ይህም ወደ ኢንቲጀር ሞልቶ መፍሰስ እና ሲተነተን ከተመደበው ቋት ባሻገር የዘፈቀደ ውሂብን ይጽፋል። በ S/MIME፣ X.1 እና CMS ውስጥ ጥቅም ላይ የዋሉ ASN.509 መዋቅሮች። ችግሩ ያባባሰው የሊብክስባ ቤተ መፃህፍት በGnuPG ፓኬጅ ውስጥ ጥቅም ላይ መዋሉ እና ተጋላጭነቱ ጂኑፒጂ (gpgsm) ከፋይሎች ወይም የኢሜል መልእክቶች የተመሰጠረ ወይም የተፈረመ መረጃን S/MIME በመጠቀም ሲያሰናዳ በአጥቂው የርቀት ኮድ ማስፈጸሚያ ሊያስከትል ይችላል። በጣም ቀላል በሆነ ሁኔታ GnuPG እና S/MIME ን የሚደግፍ የኢሜል ደንበኛን በመጠቀም ተጎጂውን ለማጥቃት በተለየ ሁኔታ የተዘጋጀ ደብዳቤ መላክ በቂ ነው.
ተጋላጭነቱ የሰርቲፊኬት መሻሪያ ዝርዝሮችን (CRLs) የሚያወርዱ እና የሚተነተኑ እና በTLS ውስጥ ጥቅም ላይ የዋሉ የምስክር ወረቀቶችን የሚያረጋግጡ dirmngr አገልጋዮችን ለማጥቃትም ሊያገለግል ይችላል። በdirmngr ላይ የሚደርስ ጥቃት በአጥቂ ከሚቆጣጠረው የድር አገልጋይ፣ በልዩ ሁኔታ የተነደፉ CRLs ወይም የምስክር ወረቀቶችን በመመለስ ሊፈጸም ይችላል። ለጂፒጂም እና ዲርምንግ በአደባባይ የሚገኙ ብዝበዛዎች እስካሁን ተለይተው እንዳልተገኙ ተጠቁሟል፣ነገር ግን ተጋላጭነቱ የተለመደ ነው እና ምንም ነገር ብቁ አጥቂዎች በራሳቸው ጥረት እንዳይዘጋጁ የሚከለክላቸው የለም።
ተጋላጭነቱ በLibksba 1.6.2 መለቀቅ እና በGnuPG 2.3.8 ሁለትዮሽ ግንባታዎች ላይ ተስተካክሏል። በሊኑክስ ስርጭቶች ላይ የሊብክስባ ቤተ-መጽሐፍት ብዙውን ጊዜ የሚቀርበው እንደ የተለየ ጥገኛ ነው፣ እና በዊንዶውስ ግንባታዎች ላይ በ GnuPG ዋና የመጫኛ ጥቅል ውስጥ ይገነባል። ከዝማኔው በኋላ፣ በ"gpgconf -kill all" ትዕዛዝ የጀርባ ሂደቶችን እንደገና ማስጀመርዎን ያስታውሱ። በ "gpgconf -show-versions" ትዕዛዝ ውፅዓት ውስጥ ችግር መኖሩን ለመፈተሽ "KSBA ..." የሚለውን መስመር መገምገም ይችላሉ, ይህም ቢያንስ የ 1.6.2 ስሪት ማሳየት አለበት.
የስርጭቶች ዝማኔዎች ገና አልተለቀቁም ነገር ግን መገኘታቸውን በገጾቹ ላይ መከታተል ይችላሉ፡ Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. ተጋላጭነቱ በMSI እና AppImage ጥቅሎች ከGnuPG VS-Desktop እና በGpg4win ውስጥም አለ።
ምንጭ: opennet.ru