Уязвимост при изпълнение на код на LibKSBA при обработка на S/MIME в GnuPG

В библиотеката LibKSBA, разработена от проекта GnuPG и предоставяща функции за работа с X.509 сертификати, е идентифицирана критична уязвимост (CVE-2022-3515), водеща до целочислено препълване и запис на произволни данни извън разпределения буфер при анализиране ASN.1 структури, използвани в S/MIME, X.509 и CMS. Проблемът се влошава от факта, че библиотеката Libksba се използва в пакета GnuPG и уязвимостта може да доведе до дистанционно изпълнение на код от нападател, когато GnuPG (gpgsm) обработва криптирани или подписани данни от файлове или имейл съобщения, използващи S/MIME. В най-простия случай, за да атакувате жертва чрез имейл клиент, който поддържа GnuPG и S/MIME, е достатъчно да изпратите специално създадено писмо.

Уязвимостта може да се използва и за атака на dirmngr сървъри, които изтеглят и анализират списъци за анулирани сертификати (CRL) и проверяват сертификати, използвани в TLS. Атака срещу dirmngr може да бъде извършена от уеб сървър, контролиран от нападател, чрез връщане на специално проектирани CRL или сертификати. Отбелязва се, че публично достъпните експлойти за gpgsm и dirmngr все още не са идентифицирани, но уязвимостта е типична и нищо не пречи на квалифицираните нападатели да подготвят експлойт сами.

Уязвимостта беше коригирана в изданието Libksba 1.6.2 и в двоичните компилации на GnuPG 2.3.8. В дистрибуциите на Linux библиотеката Libksba обикновено се доставя като отделна зависимост, а в компилациите на Windows тя е вградена в основния инсталационен пакет с GnuPG. След актуализацията не забравяйте да рестартирате фоновите процеси с командата „gpgconf –kill all“. За да проверите за наличие на проблем в изхода на командата „gpgconf –show-versions“, можете да оцените реда „KSBA ....“, който трябва да показва версия от поне 1.6.2.

Актуализациите за дистрибуции все още не са пуснати, но можете да следите наличността им на страниците: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Уязвимостта присъства и в пакетите MSI и AppImage с GnuPG VS-Desktop и в Gpg4win.

Източник: opennet.ru