GnuPG-projektin kehittämässä LibKSBA-kirjastossa, joka tarjoaa toimintoja X.509-varmenteiden kanssa työskentelyyn, on tunnistettu kriittinen haavoittuvuus (CVE-2022-3515), joka johtaa kokonaislukujen ylivuotoon ja mielivaltaisten tietojen kirjoittamiseen varatun puskurin ulkopuolelle jäsennettäessä. S/MIME:ssä, X.1:ssä ja CMS:ssä käytetyt ASN.509-rakenteet. Ongelmaa pahentaa se, että Libksba-kirjastoa käytetään GnuPG-paketissa ja haavoittuvuus voi johtaa koodin etäsuorittamiseen hyökkääjän toimesta, kun GnuPG (gpgsm) käsittelee salattuja tai allekirjoitettuja tietoja tiedostoista tai sähköpostiviesteistä S/MIME:n avulla. Yksinkertaisimmassa tapauksessa uhriin hyökkäämiseksi GnuPG:tä ja S/MIME:tä tukevalla sähköpostiohjelmalla riittää, että lähetät erityisesti suunnitellun kirjeen.
Haavoittuvuutta voidaan käyttää myös hyökkäämiseen dirmngr-palvelimiin, jotka lataavat ja jäsentävät sertifikaattien kumoamisluetteloita (CRL) ja tarkistavat TLS:ssä käytetyt varmenteet. Hyökkäys dirmngr:ää vastaan voidaan suorittaa hyökkääjän hallitsemalta verkkopalvelimelta palauttamalla erityisesti suunniteltuja CRL:itä tai varmenteita. On huomattava, että julkisesti saatavilla olevia hyväksikäyttöjä gpgsm:lle ja dirmngr:lle ei ole vielä tunnistettu, mutta haavoittuvuus on tyypillinen, eikä mikään estä päteviä hyökkääjiä valmistelemasta hyväksikäyttöä itse.
Haavoittuvuus korjattiin Libksba 1.6.2 -julkaisussa ja GnuPG 2.3.8 -binääriversioissa. Linux-jakeluissa Libksba-kirjasto toimitetaan yleensä erillisenä riippuvuutena, ja Windows-versioissa se on sisäänrakennettu pääasennuspakettiin GnuPG:n kanssa. Päivityksen jälkeen muista käynnistää taustaprosessit uudelleen komennolla "gpgconf –kill all". Tarkistaaksesi ongelman olemassaolon “gpgconf –show-versions” -komennon lähdössä, voit arvioida rivin “KSBA ....”, jonka tulee osoittaa vähintään versio 1.6.2.
Jakelujen päivityksiä ei ole vielä julkaistu, mutta niiden saatavuutta voi seurata sivuilta: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Haavoittuvuus on myös GnuPG VS-Desktopin MSI- ja AppImage-paketeissa ja Gpg4winissä.
Lähde: opennet.ru