Sa librarya sa LibKSBA, nga gimugna sa proyekto sa GnuPG ug paghatag og mga gimbuhaton alang sa pagtrabaho uban sa X.509 nga mga sertipiko, usa ka kritikal nga kahuyang ang giila (CVE-2022-3515), nga mitultol ngadto sa usa ka integer nga pag-awas ug pagsulat sa arbitraryong datos lapas sa gigahin nga buffer sa dihang nag-parse ASN.1 istruktura nga gigamit sa S/MIME, X.509 ug CMS. Ang problema gipasamot sa kamatuoran nga ang Libksba library kay gigamit sa GnuPG package ug ang vulnerability mahimong mosangpot sa remote code execution sa usa ka attacker kung ang GnuPG (gpgsm) nagproseso sa encrypted o signed data gikan sa mga file o email messages gamit ang S/MIME. Sa pinakasimple nga kaso, ang pag-atake sa usa ka biktima gamit ang email client nga nagsuporta sa GnuPG ug S/MIME, igo na nga magpadala ug espesyal nga gidisenyo nga sulat.
Ang pagkahuyang mahimo usab nga gamiton sa pag-atake sa mga server sa dirmngr nga nag-download ug nag-parse sa mga lista sa pagbawi sa sertipiko (CRL) ug nagpamatuod sa mga sertipiko nga gigamit sa TLS. Ang usa ka pag-atake sa dirmngr mahimong himuon gikan sa usa ka web server nga kontrolado sa usa ka tig-atake, pinaagi sa pagbalik sa espesyal nga gidisenyo nga mga CRL o mga sertipiko. Namatikdan nga ang magamit sa publiko nga mga pagpahimulos alang sa gpgsm ug dirmngr wala pa nahibal-an, apan ang pagkahuyang kasagaran ug wala’y makapugong sa mga kwalipikado nga mga tig-atake sa pag-andam sa usa ka pagpahimulos sa ilang kaugalingon.
Ang vulnerability naayo sa Libksba 1.6.2 release ug sa GnuPG 2.3.8 binary builds. Sa mga pag-apod-apod sa Linux, ang Libksba library sagad nga gihatag ingon usa ka bulag nga pagsalig, ug sa pagtukod sa Windows kini gitukod sa panguna nga pakete sa pag-install nga adunay GnuPG. Pagkahuman sa pag-update, hinumdomi nga i-restart ang mga proseso sa background gamit ang "gpgconf -kill all" nga mando. Aron masusi ang presensya sa usa ka problema sa output sa "gpgconf –show-versions" nga sugo, mahimo nimong susihon ang linya nga "KSBA ....", nga kinahanglan magpakita sa usa ka bersyon sa labing menos 1.6.2.
Ang mga update alang sa mga distribusyon wala pa gipagawas, apan mahimo nimong masubay ang ilang pagkaanaa sa mga panid: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Ang pagkahuyang anaa usab sa MSI ug AppImage nga mga pakete nga adunay GnuPG VS-Desktop ug sa Gpg4win.
Source: opennet.ru