In bibliotheca LibKSBA, a GnuPG incepta et munera praebens operandi cum libellorum X.509 evoluta, vulnerabilitas critica notata est (CVE-2022-3515), ducens ad integram redundantiam et scribens notitias arbitrarias ultra quiddam partita cum parsing. ASN.1 structurae in S/MIME, X. 509 et CMS adhibitae. Problema aggravatur eo quod Bibliotheca Libksba in sarcina GnuPG adhibita et vulnerabilitas ad supplicium ab oppugnatore remotum ducere potest, cum GnuPG (gpgsm) processuum notitia e lima vel electronicis nuntiis utente S/MIME encryptae vel signatae datae sunt. In casu simplicissimo, victimam oppugnare utentem clientem electronicum sustentantem GnuPG et S/MIME, satis est litteras speciales designatas mittere.
Vulnerabilitas etiam adhiberi potest ad oppugnandos servos dirmngr, qui indices revocationum certificatorum (CRL) depromunt et resolvunt et certificata in TLS adhibita verificant. Impetus in dirmngr fieri potest per... servi interretiales, ab aggressore moderata, per distributionem CRL vel certificatorum specialiter fabricatorum. Notandum est nullas vulnerabilitates publice praesto pro gpgsm et dirmngr adhuc inventas esse, sed vulnerabilitas communis est et nihil impedit aggressores peritos quominus propriam vulnerabilitatem evolvant.
Vulnerabilitas correcta est in emissione Libksba 1.6.2 et in binis constructionibus GnuPG 2.3.8. In distributionibus... Linux Bibliotheca Libksba plerumque ut dependentia separata praebetur, et in structuris pro... Windows In principali fasciculo institutionis GnuPG inclusum. Post renovationem, memento processus secundarios cum mandato "gpgconf --kill all" denuo incipere. Ad praesentiam problematis verificandam, exitum mandati "gpgconf --show-versions" inspicere potes quaerendo lineam "KSBA....", quae versionem non inferiorem quam 1.6.2 indicare debet.
Renovationes distributionum nondum editae sunt, sed earum apparitionem in sequentibus paginis indagare potes: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Haec vulnerabilitas etiam fasciculos MSI et AppImage cum GnuPG VS-Desktop et Gpg4win afficit.
Source: opennet.ru
