I leabharlann LibKSBA, arna fhorbairt ag an tionscadal GnuPG agus ag soláthar feidhmeanna chun oibriú le deimhnithe X.509, aithníodh leochaileacht chriticiúil (CVE-2022-3515), rud a fhágann go bhfuil slánuimhir thar maoil agus ag scríobh sonraí treallach níos faide ná an maolán leithdháilte agus iad ag parsáil. Struchtúir ASN.1 a úsáidtear in S/MIME, X.509 agus CMS. Tá an fhadhb níos measa ag an bhfíric go n-úsáidtear leabharlann Libksba sa phacáiste GnuPG agus féadfaidh ionsaitheoir cód a chur i bhfeidhm go cianda nuair a phróiseálann GnuPG (gpgsm) sonraí criptithe nó sínithe ó chomhaid nó teachtaireachtaí ríomhphoist ag baint úsáide as S/MIME as an leochaileacht. Sa chás is simplí, chun ionsaí a dhéanamh ar íospartach ag baint úsáide as cliant ríomhphoist a thacaíonn le GnuPG agus S/MIME, is leor litir atá deartha go speisialta a sheoladh.
Is féidir an leochaileacht a úsáid freisin chun ionsaí a dhéanamh ar fhreastalaithe dirmngr, a íoslódálann agus a pharsálann liostaí cúlghairme teastais (CRLanna) agus a fhíoraíonn teastais a úsáidtear i TLS. Is féidir ionsaí ar dirmngr a dhéanamh trí freastalaithe gréasáin, atá faoi rialú ionsaitheora, trí CRLanna nó deimhnithe speisialta a dháileadh. Tugtar faoi deara nach bhfuil aon leasuithe poiblí do gpgsm agus dirmngr aitheanta go fóill, ach is leochaileacht choitianta í agus níl aon rud a chuireann cosc ar ionsaitheoirí oilte a leasuithe féin a fhorbairt.
Deisíodh an leochaileacht i leagan 1.6.2 de Libksba agus sna leaganacha dénártha de GnuPG 2.3.8. I ndáiltí Linux De ghnáth, cuirtear an leabharlann Libksba ar fáil mar spleáchas ar leithligh, agus i dtógáil le haghaidh Windows Tógtha isteach sa phríomhphacáiste suiteála GnuPG. Tar éis an nuashonraithe, cuimhnigh próisis chúlra a atosú leis an ordú "gpgconf --kill all." Chun a fhíorú an bhfuil an fhadhb ann, is féidir leat aschur an ordaithe "gpgconf --show-versions" a sheiceáil tríd an líne "KSBA...." a lorg, rud a léireodh leagan nach ísle ná 1.6.2.
Níl nuashonruithe do na dáiltí eisithe go fóill, ach is féidir leat a gcuma a rianú ar na leathanaigh seo a leanas: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Bíonn tionchar ag an leochaileacht ar phacáistí MSI agus AppImage le GnuPG VS-Desktop agus Gpg4win chomh maith.
Foinse: oscailtenet.ru
