I LibKSBA-biblioteket, udviklet af GnuPG-projektet og leverer funktioner til at arbejde med X.509-certifikater, er en kritisk sårbarhed blevet identificeret (CVE-2022-3515), hvilket fører til et heltalsoverløb og skrivning af vilkårlige data ud over den tildelte buffer ved parsing ASN.1-strukturer brugt i S/MIME, X.509 og CMS. Problemet forværres af det faktum, at Libksba-biblioteket bruges i GnuPG-pakken, og sårbarheden kan føre til fjernudførelse af kode af en angriber, når GnuPG (gpgsm) behandler krypterede eller signerede data fra filer eller e-mail-beskeder ved hjælp af S/MIME. I det enkleste tilfælde, for at angribe et offer ved hjælp af en e-mail-klient, der understøtter GnuPG og S/MIME, er det nok at sende et specialdesignet brev.
Sårbarheden kan også bruges til at angribe dirmngr-servere, der downloader og parser lister over certifikattilbagekaldelse (CRL'er) og verificerer certifikater, der bruges i TLS. Et angreb på dirmngr kan udføres fra en webserver styret af en angriber gennem returnering af specialdesignede CRL'er eller certifikater. Det bemærkes, at offentligt tilgængelige udnyttelser til gpgsm og dirmngr endnu ikke er blevet identificeret, men sårbarheden er typisk, og intet forhindrer kvalificerede angribere i at forberede en udnyttelse på egen hånd.
Sårbarheden blev rettet i Libksba 1.6.2-udgivelsen og i GnuPG 2.3.8 binære builds. På Linux-distributioner leveres Libksba-biblioteket normalt som en separat afhængighed, og på Windows-builds er det indbygget i hovedinstallationspakken med GnuPG. Efter opdateringen skal du huske at genstarte baggrundsprocesser med kommandoen "gpgconf –kill all". For at kontrollere tilstedeværelsen af et problem i outputtet af kommandoen “gpgconf –show-versions”, kan du evaluere linjen “KSBA ....”, som skal angive en version på mindst 1.6.2.
Opdateringer til distributioner er endnu ikke blevet frigivet, men du kan spore deres tilgængelighed på siderne: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Sårbarheden er også til stede i MSI- og AppImage-pakkerne med GnuPG VS-Desktop og i Gpg4win.
Kilde: opennet.ru