GnuPG ပရောဂျက်မှ ဖန်တီးထားသော LibKSBA စာကြည့်တိုက်တွင် X.509 လက်မှတ်များနှင့် အလုပ်လုပ်ရန်အတွက် လုပ်ဆောင်ချက်များကို ပံ့ပိုးပေးသော၊ အရေးပါသော အားနည်းချက်တစ်ခု (CVE-2022-3515) ကို ခွဲခြမ်းစိတ်ဖြာသည့်အခါ ခွဲခြမ်းစိတ်ဖြာမှုတွင် ခွဲခြမ်းစိတ်ဖြာမှုထက် ကိန်းပြည့်လျှံသွားကာ မထင်မရှားဒေတာများ ရေးသားခြင်းကို ဖြစ်ပေါ်စေသည် S/MIME၊ X.1 နှင့် CMS တို့တွင် အသုံးပြုထားသော ASN.509 ဖွဲ့စည်းပုံများ။ GnuPG (gpgsm) သည် S/MIME သုံးပြီး ဖိုင်များ သို့မဟုတ် အီးမေးလ်မက်ဆေ့ချ်များမှ အချက်အလက်များကို ကုဒ်ဝှက်ထားသော သို့မဟုတ် ရေးထိုးထားသော ဒေတာကို လုပ်ဆောင်သည့်အခါတွင် Libksba စာကြည့်တိုက်ကို GnuPG ပက်ကေ့ဂျ်တွင် အသုံးပြုထားသောကြောင့် အားနည်းချက်သည် တိုက်ခိုက်သူထံမှ အဝေးကုဒ်ကို အကောင်အထည်ဖော်ခြင်းသို့ ဦးတည်သွားစေနိုင်သည်။ အရိုးရှင်းဆုံးအခြေအနေတွင်၊ GnuPG နှင့် S/MIME တို့ကို ပံ့ပိုးပေးသည့် အီးမေးလ်ကလိုင်းယင့်ကို အသုံးပြု၍ သားကောင်အား တိုက်ခိုက်ရန်၊ အထူးဒီဇိုင်းထုတ်ထားသော စာတစ်စောင်ပေးပို့ရန် လုံလောက်ပါသည်။
အားနည်းချက်ကို ဒေါင်းလုဒ်လုပ်ပြီး အသိအမှတ်ပြုလက်မှတ် ရုပ်သိမ်းခြင်းစာရင်း (CRLs) နှင့် TLS တွင် အသုံးပြုထားသော လက်မှတ်များကို စိစစ်သည့် dirmngr ဆာဗာများကိုလည်း တိုက်ခိုက်ရန်အတွက်လည်း အသုံးပြုနိုင်ပါသည်။ အထူးဒီဇိုင်း CRLs သို့မဟုတ် လက်မှတ်များ ပြန်ပေးခြင်းဖြင့် တိုက်ခိုက်သူ ထိန်းချုပ်ထားသော ဝဘ်ဆာဗာမှ dirmngr တိုက်ခိုက်မှုကို လုပ်ဆောင်နိုင်သည်။ gpgsm နှင့် dirmngr အတွက် အများသူငှာရရှိနိုင်သော exploit များကို မဖော်ထုတ်ရသေးသော်လည်း အားနည်းချက်သည် ပုံမှန်ဖြစ်ပြီး အရည်အချင်းပြည့်မီသော တိုက်ခိုက်သူများကို ၎င်းတို့ကိုယ်တိုင် exploit ပြင်ဆင်ခြင်းမှ မည်သည့်အရာကမှ တားဆီးထားခြင်းမရှိပါ။
အားနည်းချက်ကို Libksba 1.6.2 ထုတ်ဝေမှုနှင့် GnuPG 2.3.8 binary တည်ဆောက်မှုများတွင် ပြုပြင်ခဲ့သည်။ Linux ဖြန့်ဝေမှုများတွင် Libksba စာကြည့်တိုက်ကို သီးခြားမှီခိုမှုအဖြစ် ပံ့ပိုးပေးလေ့ရှိပြီး Windows တည်ဆောက်မှုများတွင် ၎င်းကို GnuPG ဖြင့် ပင်မတပ်ဆင်မှုပက်ကေ့ချ်တွင် ထည့်သွင်းထားသည်။ အပ်ဒိတ်ပြီးနောက်၊ “gpgconf –kill all” အမိန့်ဖြင့် နောက်ခံလုပ်ငန်းစဉ်များကို ပြန်လည်စတင်ရန် မမေ့ပါနှင့်။ “gpgconf –show-versions” command ၏ output တွင် ပြဿနာရှိနေခြင်းကို စစ်ဆေးရန်၊ အနည်းဆုံး 1.6.2 ဗားရှင်းကို ညွှန်ပြရမည့် “KSBA ....” လိုင်းကို အကဲဖြတ်နိုင်ပါသည်။
ဖြန့်ဝေမှုများအတွက် အပ်ဒိတ်များကို မထုတ်ပြန်ရသေးသော်လည်း၊ Debian၊ Ubuntu၊ Gentoo၊ RHEL၊ SUSE၊ Arch, FreeBSD စာမျက်နှာများတွင် ၎င်းတို့၏ရရှိနိုင်မှုကို သင်ခြေရာခံနိုင်ပါသည်။ အားနည်းချက်သည် GnuPG VS-Desktop နှင့် Gpg4win ပါရှိသော MSI နှင့် AppImage ပက်ကေ့ဂျ်များတွင်လည်း ရှိနေပါသည်။
source: opennet.ru