En la biblioteca LibKSBA, desarrollada por el proyecto GnuPG y que proporciona funciones para trabajar con certificados X.509, se ha identificado una vulnerabilidad crítica (CVE-2022-3515), que provoca un desbordamiento de enteros y la escritura de datos arbitrarios más allá del búfer asignado al analizar Estructuras ASN.1 utilizadas en S/MIME, X.509 y CMS. El problema se agrava por el hecho de que la biblioteca Libksba se utiliza en el paquete GnuPG y la vulnerabilidad puede provocar la ejecución remota de código por parte de un atacante cuando GnuPG (gpgsm) procesa datos cifrados o firmados de archivos o mensajes de correo electrónico utilizando S/MIME. En el caso más sencillo, para atacar a una víctima utilizando un cliente de correo electrónico que admita GnuPG y S/MIME, basta con enviar una carta especialmente diseñada.
La vulnerabilidad también se puede utilizar para atacar servidores dirmngr que descargan y analizan listas de revocación de certificados (CRL) y verifican los certificados utilizados en TLS. Un ataque a dirmngr se puede llevar a cabo desde un servidor web controlado por un atacante, mediante la devolución de CRL o certificados especialmente diseñados. Cabe señalar que aún no se han identificado los exploits disponibles públicamente para gpgsm y dirmngr, pero la vulnerabilidad es típica y nada impide a atacantes cualificados preparar un exploit por su cuenta.
La vulnerabilidad se solucionó en la versión Libksba 1.6.2 y en las compilaciones binarias GnuPG 2.3.8. En las distribuciones de Linux, la biblioteca Libksba generalmente se suministra como una dependencia separada, y en las compilaciones de Windows está integrada en el paquete de instalación principal con GnuPG. Después de la actualización, recuerde reiniciar los procesos en segundo plano con el comando “gpgconf –kill all”. Para verificar la presencia de un problema en la salida del comando “gpgconf –show-versions”, puede evaluar la línea “KSBA…”, que debe indicar una versión de al menos 1.6.2.
Las actualizaciones para distribuciones aún no se han publicado, pero puede rastrear su disponibilidad en las páginas: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. La vulnerabilidad también está presente en los paquetes MSI y AppImage con GnuPG VS-Desktop y en Gpg4win.
Fuente: opennet.ru