Sicherheitsanfälligkeit in LibKSBA, die zur Ausführung von Code bei der Verarbeitung von S/MIME in GnuPG führt

In der LibKSBA-Bibliothek, die im Rahmen des GnuPG-Projekts entwickelt wird und Funktionen für die Arbeit mit X.509-Zertifikaten bereitstellt, wurde eine kritische Sicherheitsanfälligkeit (CVE-2022-3515) entdeckt. Diese führt zu einem ganzzahligen Überlauf und zum Schreiben beliebiger Daten außerhalb des zugewiesenen Puffers beim Parsen von ASN.1-Strukturen, die in S/MIME, X.509 und CMS verwendet werden. Das Problem wird dadurch verschärft, dass die Libksba-Bibliothek im GnuPG-Paket verwendet wird, und die Sicherheitsanfälligkeit kann zu einer Remote-Codeausführung eines Angreifers führen, wenn GnuPG (gpgsm) verschlüsselte oder signierte Daten aus Dateien oder E-Mails, die S/MIME verwenden, verarbeitet. Im einfachsten Fall genügt es, ein speziell gestaltetes E-Mail an ein Opfer zu senden, das einen E-Mail-Client mit Unterstützung für GnuPG und S/MIME verwendet.

Die Sicherheitsanfälligkeit kann auch dazu verwendet werden, Angriffe auf dirmngr-Server zu starten, die für das Herunterladen und Parsen von Listen zurückgezogener Zertifikate (CRLs) sowie für die Überprüfung von Zertifikaten, die in TLS verwendet werden, zuständig sind. Ein Angriff auf dirmngr kann von außen durchgeführt werden. Webserver, die von Angreifern kontrolliert werden, durch die Bereitstellung speziell gestalteter CRLs oder Zertifikate. Es wird festgestellt, dass bisher keine öffentlich zugänglichen Exploits für gpgsm und dirmngr entdeckt wurden, aber die Schwachstelle ist typischer Natur und nichts hindert qualifizierte Angreifer daran, einen Exploit selbst zu erstellen.

Die Schwachstelle wurde in der Version Libksba 1.6.2 und in den Binärversionen von GnuPG 2.3.8 behoben. In den Linux-Distributionen wird die Bibliothek Libksba normalerweise als separate Abhängigkeit bereitgestellt, während sie in den Windows-Bauten im Hauptinstallationspaket von GnuPG integriert ist. Nach dem Update sollte man nicht vergessen, die Hintergrundprozesse mit dem Befehl „gpgconf —kill all“ neu zu starten. Um das Vorhandensein des Problems zu überprüfen, kann man den Wert der Zeile „KSBA ….“ im Output des Befehls „gpgconf —show-versions“ prüfen, wo die Version mindestens 1.6.2 angegeben sein sollte.

Updates für die Distributionen wurden bisher nicht veröffentlicht, aber ihre Verfügbarkeit kann auf den Seiten verfolgt werden: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Die Schwachstelle ist auch in den MSI- und AppImage-Paketen von GnuPG VS-Desktop und in Gpg4win vorhanden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster