GnuPG proiektuak garatu eta X.509 ziurtagiriekin lan egiteko funtzioak eskaintzen dituen LibKSBA liburutegian, ahultasun kritiko bat identifikatu da (CVE-2022-3515), eta, ondorioz, zenbaki osoak gainezkatzea eta esleitutako bufferetik haratago datu arbitrarioak idazten ditu analizatzerakoan. S/MIME, X.1 eta CMS-n erabiltzen diren ASN.509 egiturak. Arazoa areagotu egiten da Libksba liburutegia GnuPG paketean erabiltzen dela eta ahultasunak erasotzaile batek urruneko kodea exekutatzeko ekar dezake GnuPG-ek (gpgsm) fitxategietatik edo mezu elektronikoetatik S/MIME erabiliz enkriptatutako edo sinatutako datuak prozesatzen dituenean. Kasurik errazenean, biktima bati GnuPG eta S/MIME onartzen dituen posta elektronikoko bezero bat erabiliz erasotzeko, nahikoa da bereziki diseinatutako gutun bat bidaltzea.
Zaurgarritasuna ziurtagiriak baliogabetzeko zerrendak (CRL) deskargatu eta analizatzen dituzten dirmngr zerbitzariak erasotzeko eta TLSn erabiltzen diren ziurtagiriak egiaztatzeko ere erabil daiteke. Dirmngr-en aurkako erasoa erasotzaile batek kontrolatutako web zerbitzari batetik egin daiteke, bereziki diseinatutako CRL edo ziurtagirien itzuleraren bidez. Kontuan izan da oraindik ez direla identifikatu gpgsm eta dirmngr-en publikoki erabilgarri dauden ustiaketa, baina ahultasuna ohikoa da eta ezerk ez die erasotzaile kualifikatuei exploit bat prestatzea.
Ahultasuna Libksba 1.6.2 bertsioan eta GnuPG 2.3.8 bitarren eraikuntzan konpondu zen. Linux-en banaketetan, Libksba liburutegia menpekotasun bereizi gisa hornitzen da normalean, eta Windows-en eraikuntzan GnuPG-rekin instalazio-pakete nagusian dago. Eguneratu ondoren, gogoratu atzeko planoko prozesuak berrabiarazi behar dituzula "gpgconf -kill all" komandoarekin. "gpgconf βshow-versions" komandoaren irteeran arazoren bat dagoen egiaztatzeko, "KSBA ...." lerroa ebalua dezakezu, gutxienez 1.6.2 bertsioa adierazi behar duena.
Banaketen eguneraketak oraindik ez dira kaleratu, baina horien erabilgarritasuna jarraipena egin dezakezu orrialdeetan: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Ahultasuna GnuPG VS-Desktop-ekin eta Gpg4win-en MSI eta AppImage paketeetan ere badago.
Iturria: opennet.ru