V knihovně LibKSBA vyvinuté projektem GnuPG a poskytující funkce pro práci s certifikáty X.509 byla identifikována kritická chyba zabezpečení (CVE-2022-3515), která při analýze vede k přetečení celého čísla a zapisování libovolných dat mimo přidělenou vyrovnávací paměť. Struktury ASN.1 používané v S/MIME, X.509 a CMS. Problém se zhoršuje skutečností, že v balíčku GnuPG je použita knihovna Libksba a zranitelnost může vést ke vzdálenému spuštění kódu útočníkem, když GnuPG (gpgsm) zpracovává šifrovaná nebo podepsaná data ze souborů nebo e-mailových zpráv pomocí S/MIME. V nejjednodušším případě k útoku na oběť pomocí e-mailového klienta, který podporuje GnuPG a S/MIME, stačí poslat speciálně navržený dopis.
Tuto chybu zabezpečení lze také použít k útoku na servery dirmngr, které stahují a analyzují seznamy odvolaných certifikátů (CRL) a ověřují certifikáty používané v TLS. Útok na dirmngr může být proveden z webového serveru kontrolovaného útočníkem prostřednictvím vrácení speciálně navržených CRL nebo certifikátů. Je třeba poznamenat, že veřejně dostupné exploity pro gpgsm a dirmngr dosud nebyly identifikovány, ale zranitelnost je typická a nic nebrání kvalifikovaným útočníkům připravit exploit sami.
Tato chyba zabezpečení byla opravena ve verzi Libksba 1.6.2 a v binárních sestaveních GnuPG 2.3.8. Na linuxových distribucích je knihovna Libksba obvykle dodávána jako samostatná závislost a na sestaveních Windows je zabudována do hlavního instalačního balíčku s GnuPG. Po aktualizaci nezapomeňte restartovat procesy na pozadí příkazem „gpgconf –kill all“. Chcete-li zkontrolovat přítomnost problému ve výstupu příkazu „gpgconf –show-versions“, můžete vyhodnotit řádek „KSBA ...“, který musí udávat verzi alespoň 1.6.2.
Aktualizace pro distribuce ještě nebyly vydány, ale jejich dostupnost můžete sledovat na stránkách: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Tato chyba zabezpečení je také přítomna v balíčcích MSI a AppImage s GnuPG VS-Desktop a v Gpg4win.
Zdroj: opennet.ru