A la biblioteca LibKSBA, desenvolupada pel projecte GnuPG i que proporciona funcions per treballar amb certificats X.509, s'ha identificat una vulnerabilitat crítica (CVE-2022-3515), que provoca un desbordament d'enters i l'escriptura de dades arbitràries més enllà de la memòria intermèdia assignada quan s'analitza. Estructures ASN.1 utilitzades en S/MIME, X.509 i CMS. El problema s'agreuja pel fet que la biblioteca Libksba s'utilitza al paquet GnuPG i la vulnerabilitat pot provocar l'execució remota de codi per part d'un atacant quan GnuPG (gpgsm) processa dades xifrades o signades de fitxers o missatges de correu electrònic mitjançant S/MIME. En el cas més senzill, per atacar una víctima mitjançant un client de correu electrònic compatible amb GnuPG i S/MIME, n'hi ha prou amb enviar una carta especialment dissenyada.
La vulnerabilitat també es pot utilitzar per atacar servidors dirmngr que descarreguen i analitzen llistes de revocació de certificats (CRL) i verifiquen els certificats utilitzats a TLS. Un atac a dirmngr es pot dur a terme des d'un servidor web controlat per un atacant, mitjançant el retorn de CRL o certificats especialment dissenyats. S'observa que encara no s'han identificat explotacions disponibles públicament per a gpgsm i dirmngr, però la vulnerabilitat és típica i res impedeix que els atacants qualificats preparin una explotació per si mateixos.
La vulnerabilitat es va solucionar a la versió Libksba 1.6.2 i a les compilacions binàries de GnuPG 2.3.8. A les distribucions de Linux, la biblioteca Libksba se sol subministrar com a dependència independent, i a les compilacions de Windows s'integra al paquet d'instal·lació principal amb GnuPG. Després de l'actualització, recordeu reiniciar els processos en segon pla amb l'ordre "gpgconf -kill all". Per comprovar la presència d'un problema a la sortida de l'ordre “gpgconf –show-versions”, podeu avaluar la línia “KSBA ....”, que ha d'indicar una versió d'almenys 1.6.2.
Les actualitzacions per a les distribucions encara no s'han publicat, però podeu fer un seguiment de la seva disponibilitat a les pàgines: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. La vulnerabilitat també està present als paquets MSI i AppImage amb GnuPG VS-Desktop i a Gpg4win.
Font: opennet.ru