Nella libreria LibKSBA, sviluppata dal progetto GnuPG e che fornisce funzioni per lavorare con i certificati X.509, è stata identificata una vulnerabilità critica (CVE-2022-3515), che porta a un overflow di numeri interi e alla scrittura di dati arbitrari oltre il buffer allocato durante l'analisi Strutture ASN.1 utilizzate in S/MIME, X.509 e CMS. Il problema è aggravato dal fatto che la libreria Libksba viene utilizzata nel pacchetto GnuPG e la vulnerabilità può portare all'esecuzione di codice remoto da parte di un utente malintenzionato quando GnuPG (gpgsm) elabora dati crittografati o firmati da file o messaggi di posta elettronica utilizzando S/MIME. Nel caso più semplice, per attaccare una vittima utilizzando un client di posta elettronica che supporta GnuPG e S/MIME, è sufficiente inviare una lettera appositamente progettata.
La vulnerabilità può essere utilizzata anche per attaccare i server dirmngr che scaricano e analizzano elenchi di revoche di certificati (CRL) e verificano i certificati utilizzati in TLS. Un attacco a dirmngr può essere effettuato da un server web controllato da un utente malintenzionato, attraverso la restituzione di CRL o certificati appositamente progettati. Va notato che gli exploit disponibili pubblicamente per gpgsm e dirmngr non sono stati ancora identificati, ma la vulnerabilità è tipica e nulla impedisce agli aggressori qualificati di preparare da soli un exploit.
La vulnerabilità è stata corretta nella versione Libksba 1.6.2 e nelle build binarie GnuPG 2.3.8. Nelle distribuzioni Linux, la libreria Libksba viene solitamente fornita come dipendenza separata, mentre nelle build Windows è integrata nel pacchetto di installazione principale con GnuPG. Dopo l'aggiornamento ricordatevi di riavviare i processi in background con il comando “gpgconf –kill all”. Per verificare la presenza di un problema nell'output del comando “gpgconf –show-versions” si può valutare la riga “KSBA….”, che deve indicare una versione almeno 1.6.2.
Gli aggiornamenti per le distribuzioni non sono ancora stati rilasciati, ma puoi seguirne la disponibilità sulle pagine: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. La vulnerabilità è presente anche nei pacchetti MSI e AppImage con GnuPG VS-Desktop e in Gpg4win.
Fonte: opennet.ru