In der vom GnuPG-Projekt entwickelten Bibliothek LibKSBA, die Funktionen für die Arbeit mit X.509-Zertifikaten bereitstellt, wurde eine kritische Schwachstelle identifiziert (CVE-2022-3515), die zu einem Ganzzahlüberlauf und dem Schreiben beliebiger Daten über den zugewiesenen Puffer beim Parsen hinaus führt ASN.1-Strukturen, die in S/MIME, X.509 und CMS verwendet werden. Das Problem wird durch die Tatsache verschärft, dass die Libksba-Bibliothek im GnuPG-Paket verwendet wird und die Schwachstelle zur Remote-Codeausführung durch einen Angreifer führen kann, wenn GnuPG (gpgsm) verschlüsselte oder signierte Daten aus Dateien oder E-Mail-Nachrichten mithilfe von S/MIME verarbeitet. Im einfachsten Fall, um ein Opfer mit einem E-Mail-Client anzugreifen, der GnuPG und S/MIME unterstützt, reicht es aus, einen speziell gestalteten Brief zu versenden.
Die Sicherheitslücke kann auch zum Angriff auf dirmngr-Server genutzt werden, die Zertifikatssperrlisten (CRLs) herunterladen und analysieren und in TLS verwendete Zertifikate überprüfen. Ein Angriff auf dirmngr kann von einem von einem Angreifer kontrollierten Webserver aus durch die Rückgabe speziell entwickelter CRLs oder Zertifikate erfolgen. Es wird darauf hingewiesen, dass öffentlich verfügbare Exploits für gpgsm und dirmngr noch nicht identifiziert wurden, aber die Schwachstelle ist typisch und nichts hindert qualifizierte Angreifer daran, selbst einen Exploit vorzubereiten.
Die Schwachstelle wurde in der Version Libksba 1.6.2 und in den Binär-Builds von GnuPG 2.3.8 behoben. Bei Linux-Distributionen wird die Libksba-Bibliothek normalerweise als separate Abhängigkeit bereitgestellt und bei Windows-Builds ist sie mit GnuPG in das Hauptinstallationspaket integriert. Denken Sie nach dem Update daran, Hintergrundprozesse mit dem Befehl „gpgconf –kill all“ neu zu starten. Um zu prüfen, ob in der Ausgabe des Befehls „gpgconf –show-versions“ ein Problem vorliegt, können Sie die Zeile „KSBA ....“ auswerten, die eine Version von mindestens 1.6.2 angeben muss.
Updates für Distributionen wurden noch nicht veröffentlicht, aber Sie können deren Verfügbarkeit auf den Seiten verfolgen: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Die Schwachstelle ist auch in den MSI- und AppImage-Paketen mit GnuPG VS-Desktop und in Gpg4win vorhanden.
Source: opennet.ru