LibKSBA teegis, mille on välja töötanud GnuPG projekt ja mis pakub X.509 sertifikaatidega töötamiseks funktsioone, tuvastati kriitiline haavatavus (CVE-2022-3515), mis põhjustab täisarvude ületäitumist ja parsimisel suvaliste andmete kirjutamist eraldatud puhvrist kaugemale. ASN.1 struktuurid, mida kasutatakse S/MIME-s, X.509-s ja CMS-is. Probleemi süvendab tõsiasi, et GnuPG paketis kasutatakse Libksba teeki ja haavatavus võib viia ründaja poolt koodi kaugkäitamiseni, kui GnuPG (gpgsm) töötleb failidest või meilisõnumitest S/MIME abil krüptitud või allkirjastatud andmeid. Lihtsamal juhul piisab ohvri ründamiseks GnuPG-d ja S/MIME-d toetava meiliklienti abil spetsiaalselt kujundatud kirja saatmisest.
Haavatavust saab kasutada ka dirmngr-serverite ründamiseks, mis laadivad alla ja sõeluvad sertifikaatide tühistamise loendeid (CRL) ning kontrollivad TLS-is kasutatavaid sertifikaate. Rünnak dirmngr-ile saab läbi viia veebiserverist, mida juhib ründaja, tagastades selleks spetsiaalselt loodud CRL-id või sertifikaadid. Märgitakse, et gpgsm-i ja dirmngr-i avalikult kättesaadavaid ärakasutusi ei ole veel tuvastatud, kuid haavatavus on tüüpiline ja miski ei takista kvalifitseeritud ründajatel ise rünnakut ette valmistamast.
Haavatavus parandati Libksba 1.6.2 versioonis ja GnuPG 2.3.8 binaarversioonis. Linuxi distributsioonide puhul tarnitakse Libksba teek tavaliselt eraldi sõltuvusena ja Windowsi versioonide puhul on see GnuPG-ga põhiinstallipaketti sisse ehitatud. Pärast värskendamist ärge unustage taustaprotsesse taaskäivitada käsuga "gpgconf –kill all". Käsu “gpgconf –show-versions” väljundis probleemi olemasolu kontrollimiseks saate hinnata rida “KSBA ....”, mis peab näitama vähemalt versiooni 1.6.2.
Distributsioonide värskendusi pole veel välja antud, kuid nende saadavust saate jälgida lehtedel: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Haavatavus esineb ka GnuPG VS-Desktopiga MSI ja AppImage pakettides ning Gpg4winis.
Allikas: opennet.ru