Dans la bibliothèque LibKSBA, développée par le projet GnuPG et fournissant des fonctions permettant de travailler avec des certificats X.509, une vulnérabilité critique a été identifiée (CVE-2022-3515), entraînant un débordement d'entier et l'écriture de données arbitraires au-delà du tampon alloué lors de l'analyse. Structures ASN.1 utilisées dans S/MIME, X.509 et CMS. Le problème est aggravé par le fait que la bibliothèque Libksba est utilisée dans le package GnuPG et la vulnérabilité peut conduire à l'exécution de code à distance par un attaquant lorsque GnuPG (gpgsm) traite des données cryptées ou signées à partir de fichiers ou de messages électroniques à l'aide de S/MIME. Dans le cas le plus simple, pour attaquer une victime à l'aide d'un client de messagerie prenant en charge GnuPG et S/MIME, il suffit d'envoyer une lettre spécialement conçue.
La vulnérabilité peut également être utilisée pour attaquer les serveurs dirmngr qui téléchargent et analysent les listes de révocation de certificats (CRL) et vérifient les certificats utilisés dans TLS. Une attaque sur dirmngr peut être menée depuis un serveur web contrôlé par un attaquant, via le retour de CRL ou de certificats spécialement conçus. Il est à noter que les exploits accessibles au public pour gpgsm et dirmngr n'ont pas encore été identifiés, mais la vulnérabilité est typique et rien n'empêche des attaquants qualifiés de préparer eux-mêmes un exploit.
La vulnérabilité a été corrigée dans la version Libksba 1.6.2 et dans les versions binaires GnuPG 2.3.8. Sur les distributions Linux, la bibliothèque Libksba est généralement fournie en tant que dépendance distincte, et sur les versions Windows, elle est intégrée au package d'installation principal avec GnuPG. Après la mise à jour, pensez à redémarrer les processus en arrière-plan avec la commande « gpgconf –kill all ». Pour vérifier la présence d'un problème dans la sortie de la commande « gpgconf –show-versions », vous pouvez évaluer la ligne « KSBA .... », qui doit indiquer une version d'au moins 1.6.2.
Les mises à jour pour les distributions n'ont pas encore été publiées, mais vous pouvez suivre leur disponibilité sur les pages : Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. La vulnérabilité est également présente dans les packages MSI et AppImage avec GnuPG VS-Desktop et dans Gpg4win.
Source: opennet.ru