Egy kritikus sebezhetőséget (CVE-2022-3515) azonosítottak a GnuPG projekt által fejlesztett és az X.509 tanúsítványokkal való munkavégzéshez szükséges függvényeket biztosító LibKSBA könyvtárban. Ez a sebezhetőség egész szám túlcsordulást és tetszőleges adatok határon túli írását okozza az S/MIME, X.509 és CMS által használt ASN.1 struktúrák elemzésekor. A problémát súlyosbítja, hogy a GnuPG csomag a Libksba-t használja, és a sebezhetőség távoli kódfuttatást okozhat, amikor a GnuPG (gpgsm) titkosított vagy aláírt adatokat dolgoz fel fájlokból vagy e-mail üzenetekből S/MIME használatával. A legegyszerűbb esetben egy GnuPG-t és S/MIME-t támogató e-mail klienst használó áldozat elleni támadás elegendő egy speciálisan létrehozott e-mail elküldéséhez.
A sebezhetőség a dirmngr szerverek megtámadására is használható, amelyek letöltik és elemzik a tanúsítvány-visszavonási listákat (CRL-eket), és ellenőrzik a TLS-ben használt tanúsítványokat. A dirmngr elleni támadást a következőképpen lehet végrehajtani: webszerverek, amelyet egy támadó irányít, speciálisan létrehozott CRL-ek vagy tanúsítványok terjesztésével. Megjegyzendő, hogy a gpgsm és a dirmngr sérülékenységekhez még nem azonosítottak nyilvánosan elérhető sebezhetőségeket, de a sebezhetőség gyakori, és semmi sem akadályozza meg a képzett támadókat abban, hogy saját sebezhetőségeket fejlesszenek ki.
A sebezhetőséget a Libksba 1.6.2-es kiadásában és a GnuPG 2.3.8 bináris verzióiban javították. Disztribúciókban Linux A Libksba könyvtár általában különálló függőségként kerül biztosításra, és a következő buildekben található: Windows Beépítve a fő GnuPG telepítőcsomagba. Frissítés után ne felejtsük el újraindítani a háttérfolyamatokat a "gpgconf --kill all" paranccsal. A probléma jelenlétének ellenőrzéséhez a "gpgconf --show-versions" parancs kimenetét a "KSBA...." sor megkeresésével ellenőrizhetjük, amelynek legalább 1.6.2-es verziót kell jeleznie.
A disztribúciókhoz még nem jelentek meg frissítések, de a következő oldalakon nyomon követheti a megjelenésüket: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. A sebezhetőség a GnuPG VS-Desktop és a Gpg4win verziókkal futtatott MSI és AppImage csomagokat is érinti.
Forrás: opennet.ru
