In a libreria LibKSBA, sviluppata da u prughjettu GnuPG è chì furnisce funzioni per travaglià cù certificati X.509, hè stata identificata una vulnerabilità critica (CVE-2022-3515), chì porta à un overflow integer è scrive dati arbitrarie oltre u buffer attribuitu quandu analizà. Strutture ASN.1 usate in S/MIME, X.509 è CMS. U prublema hè aggravatu da u fattu chì a libreria Libksba hè aduprata in u pacchettu GnuPG è a vulnerabilità pò guidà à l'esekzione di codice remota da un attaccu quandu GnuPG (gpgsm) processa dati criptati o firmati da i fugliali o missaghji email cù S/MIME. In u casu più simplice, per attaccà una vittima utilizendu un cliente di email chì supporta GnuPG è S/MIME, hè abbastanza per mandà una lettera apposta.
A vulnerabilità pò ancu esse aduprata per attaccà i servitori dirmngr chì scaricanu è analizà e liste di revocazione di certificati (CRL) è verificate i certificati utilizati in TLS. Un attaccu à dirmngr pò esse realizatu da un servitore web cuntrullatu da un attaccu, attraversu u ritornu di CRL o certificati apposta. Hè nutatu chì i sfruttamenti dispunibuli publicamente per gpgsm è dirmngr ùn sò micca stati identificati, ma a vulnerabilità hè tipica è nunda impedisce à l'attaccanti qualificati di preparà un sfruttamentu per sè stessu.
A vulnerabilità hè stata riparata in a versione Libksba 1.6.2 è in e versioni binari GnuPG 2.3.8. Nant'à e distribuzioni Linux, a libreria Libksba hè generalmente furnita cum'è una dependenza separata, è in Windows builds hè integrata in u pacchettu di installazione principale cù GnuPG. Dopu l'aghjurnamentu, ricordate di riavvià i prucessi di fondo cù u cumandimu "gpgconf -kill all". Per verificà a presenza di un prublema in l'output di u cumandimu "gpgconf -show-versions", pudete evaluà a linea "KSBA ....", chì deve indicà una versione di almenu 1.6.2.
L'aghjurnamenti per e distribuzioni ùn sò micca stati liberati, ma pudete seguità a so dispunibilità nantu à e pagine: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. A vulnerabilità hè ancu presente in i pacchetti MSI è AppImage cù GnuPG VS-Desktop è in Gpg4win.
Source: opennet.ru