ProHoster > Pūnaewele > nūhou pūnaewele > ʻO ka vulnerability ma LibKSBA e alakaʻi ana i ka hoʻokō code i ka wā o ka hana S/MIME ma GnuPG

ʻO ka vulnerability ma LibKSBA e alakaʻi ana i ka hoʻokō code i ka wā o ka hana S/MIME ma GnuPG

I loko o ka hale waihona puke LibKSBA, i hoʻomohala ʻia e ka papahana GnuPG a me ka hoʻolako ʻana i nā hana no ka hana ʻana me nā palapala hōʻoia X.509, ua ʻike ʻia kahi nāwaliwali koʻikoʻi (CVE-2022-3515), e alakaʻi ana i kahi integer overflow a kākau i nā ʻikepili kūʻokoʻa ma waho o ka buffer i hāʻawi ʻia i ka wā e parsing. Hoʻohana ʻia nā hale ASN.1 ma S/MIME, X.509 a me CMS. Hoʻonui ʻia ka pilikia ma muli o ka hoʻohana ʻia ʻana o ka waihona Libksba i loko o ka pūʻolo GnuPG a hiki i ka nāwaliwali ke alakaʻi i ka hoʻokō code mamao e ka mea hoʻouka i ka wā i hoʻopili ʻia ai ʻo GnuPG (gpgsm) i nā ʻikepili mai nā faila a i ʻole nā ​​leka uila me S/MIME. Ma ka hihia maʻalahi, e hoʻouka i ka mea i hōʻeha ʻia me ka hoʻohana ʻana i kahi mea leka uila e kākoʻo ana iā GnuPG a me S/MIME, ua lawa ia e hoʻouna i kahi leka i hoʻolālā ʻia.

Hiki ke hoʻohana ʻia ka vulnerability no ka hoʻouka ʻana i nā kikowaena dirmngr e hoʻoiho a hoʻopau i nā papa inoa hoʻopau palapala (CRL) a hōʻoia i nā palapala hōʻoia i hoʻohana ʻia ma TLS. Hiki ke hoʻouka ʻia kahi hoʻouka kaua ma dirmngr mai kahi kikowaena pūnaewele i hoʻomalu ʻia e ka mea hoʻouka, ma o ka hoʻihoʻi ʻana i nā CRL i hoʻolālā kūikawā ʻia. Hoʻomaopopo ʻia ʻaʻole i ʻike ʻia nā mea hoʻohana i ka lehulehu no gpgsm a me dirmngr, akā he mea maʻamau ka nāwaliwali a ʻaʻohe mea e pale aku i ka poʻe hoʻouka kaua mai ka hoʻomākaukau ʻana i kahi hana ponoʻī iā lākou iho.

Ua hoʻopaʻa ʻia ka nāwaliwali ma ka hoʻokuʻu Libksba 1.6.2 a ma ka GnuPG 2.3.8 binary builds. Ma nā māhele Linux, hoʻolako pinepine ʻia ka waihona Libksba ma ke ʻano he hilinaʻi ʻokoʻa, a ma Windows kūkulu ʻia ua kūkulu ʻia i loko o ka pūʻulu hoʻonohonoho nui me GnuPG. Ma hope o ka hoʻohou, e hoʻomanaʻo e hoʻomaka hou i nā kaʻina hana me ke kauoha "gpgconf -kill all". No ka nānā ʻana i kahi pilikia ma ka puka o ke kauoha "gpgconf –show-versions", hiki iā ʻoe ke loiloi i ka laina "KSBA ....", pono e hōʻike i kahi mana o ka liʻiliʻi 1.6.2.

ʻAʻole i hoʻokuʻu ʻia nā mea hou no ka hāʻawi ʻana, akā hiki iā ʻoe ke hahai i ko lākou loaʻa ʻana ma nā ʻaoʻao: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Aia pū ka nāwaliwali i ka MSI a me AppImage pūʻolo me GnuPG VS-Desktop a ma Gpg4win.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka